SophosLabs, Squirrelwaffle kötü amaçlı yazılım "dağıtım istasyonunun" sosyal mühendislikle birlikte kullanımını araştırıyor. Çifte saldırı oldu: Kötü amaçlı yazılım bırakıcıları ve mali dolandırıcılık, aynı savunmasız Exchange Sunucusu üzerinden gerçekleştirildi. Squirrelwaffle'dan etkilenen kuruluşlardaki güvenlik ekipleri için bir olay kılavuzu.
Einem yılında Yakın tarihli bir makalede, Sophos Hızlı Müdahale Ekibi, Squirrelwaffle kötü amaçlı yazılımının, ele geçirilen e-posta dizileri yoluyla kötü amaçlı spam dağıtmak için savunmasız bir Exchange sunucusunu kullandığı bir vakayı açıklamaktadır.. Aynı zamanda, şüphelenmeyen kullanıcıları para transfer etmeleri için kandırmak amacıyla saldırganlar tarafından bir e-posta dizisi çalındı.
Squirrelwaffle, ProxyLogon ve ProxyShell kombinasyonu
Burada kullanılan Squirrelwaffle, ProxyLogon ve ProxyShell kombinasyonu, son aylarda Sophos Hızlı Müdahale Ekibi tarafından birkaç kez gözlemlendi. Ancak bu durum, saldırganların Exchange sunucusuna yama uygulanmış olsa bile spam gönderme yeteneğini korumak için yazım hatası yaptığını gösteren ilk vakadır. Siber suçlular bunu yaparken, web sitesi adını yazarken yazım hatası yapan kullanıcıları, kendileri tarafından kontrol edilen kötü niyetli bir siteye yönlendiriyor.
İkili saldırıda Squirrelwaffle malware ve sosyal mühendislik
Mevcut saldırı, şirket çalışanlarının mevcut e-posta ileti dizilerine manipüle edilmiş yanıtlar ekleyerek Squirrelwaffle'ı dahili ve harici alıcılara toplu olarak dağıtmak için kullanılabilir. Sophos araştırmacıları, kötü amaçlı spam kampanyası yürütülürken, aynı güvenlik açığı bulunan sunucunun finansal bir dolandırıcılık için de kullanıldığını keşfetti. Suçlular, çalınan bir e-posta dizisinden elde ettikleri bilgileri kullanarak, etkilenen şirketin çalışanlarını bir müşteriye yönelik bir para işlemini saldırganlara yönlendirmeye ikna etmek için yazım hatası kullandılar. Ve hain dolandırıcılık neredeyse başarılı oldu: Siber suçlulara havale zaten onaylandı, ancak şans eseri bir banka şüphelendi ve işlemi son anda durdurdu.
Tek başına yama yeterli değil
Sophos Rapid Response analisti ve çalışmanın yazarlarından biri olan Matthew Everts'in yaptığı bir yorum şöyle diyor:
“Savunmasız bir Exchange sunucusu aracılığıyla yapılan tipik bir Squirrelwaffle saldırısında, saldırı, savunucuların güvenlik açıklarını keşfedip düzeltmesiyle ve saldırganın sunucu aracılığıyla e-posta gönderme yeteneğini ortadan kaldırmasıyla sona erer. Ancak araştırdığımız olayda, saldırganlar kurbanın Exchange sunucusundan müşteri ödemeleriyle ilgili bir e-posta dizisini dışa aktardıkları için böyle bir önlem mali dolandırıcılığı engelleyemezdi. Bu, yamaların tek başına koruma sağlamak için her zaman yeterli olmadığını hatırlatır. Örneğin, güvenlik açığı bulunan Exchange sunucularının, saldırganların erişimi sürdürmek için geride bir web kabuğu bırakmadığından da emin olması gerekir. E-posta dizisi ele geçirmede kullanılanlar gibi karmaşık sosyal mühendislik saldırıları söz konusu olduğunda, çalışanları ne arayacakları ve bunu nasıl raporlayacakları konusunda eğitmek tespit için kritik öneme sahip."
Etkilenen şirketler için yardım: Squirrelwaffle Olay Kılavuzu
Mevcut makaleye ek olarak Sophos, giderek daha popüler hale gelen bu kötü amaçlı yazılım yükleyiciyi içeren olayların nasıl araştırılacağı, analiz edileceği ve bunlara nasıl yanıt verileceği konusunda adım adım talimatlar sağlayan bir Squirrelwaffle Olay Kılavuzu da yayınladı. İstenmeyen e-posta kampanyalarında kötü amaçlı bir Office belgesi olarak dağıtılır ve siber suçluların bir kurbanın ortamında ilk yerlerini tutmalarına ve diğer kötü amaçlı yazılımları çoğaltıp sistemlere bulaştırmak için bir kanal oluşturmalarına olanak tanır.
Kılavuz, Sophos Hızlı Müdahale Ekibi tarafından olaylara müdahale ekiplerinin ve güvenlik operasyon ekiplerinin yaygın tehdit araçlarını, tekniklerini ve davranışlarını belirlemesine ve düzeltmesine yardımcı olmak için üretilen bir dizi olay kılavuzunun bir parçasıdır. Ücretsiz olarak indirilebilir.
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.