SophosLabs досліджує використання «станції розповсюдження» шкідливих програм Squirrelwaffle у поєднанні з соціальною інженерією. Була подвійна атака: дроппери зловмисного програмного забезпечення та фінансове шахрайство проходили через той самий вразливий сервер Exchange. Посібник із інцидентів для команд безпеки в організаціях, які постраждали від Squirrelwaffle.
В Ейнем У недавній статті команда швидкого реагування Sophos описує випадок, коли зловмисне програмне забезпечення Squirrelwaffle використовувало вразливий сервер Exchange для розповсюдження зловмисного спаму через захоплені потоки електронної пошти.. У той же час зловмисники вкрали ланцюжок електронної пошти, щоб змусити нічого не підозрюючих користувачів переказати гроші.
Поєднання Squirrelwaffle, ProxyLogon і ProxyShell
Команда швидкого реагування Sophos протягом останніх місяців кілька разів спостерігала комбінацію Squirrelwaffle, ProxyLogon і ProxyShell. Однак цей випадок є першим, у якому показано, що зловмисники використовують помилки, щоб зберегти можливість надсилати спам, навіть якщо сервер Exchange було виправлено. Роблячи це, кіберзлочинці спрямовують користувачів, які помиляються під час введення назви веб-сайту, на контрольований ними шкідливий сайт.
Шкідливе програмне забезпечення Squirrelwaffle і соціальна інженерія в подвійній атаці
Поточна атака може бути використана для масового розповсюдження Squirrelwaffle внутрішнім і зовнішнім одержувачам шляхом вставки маніпуляційних відповідей в існуючі ланцюжки електронної пошти співробітників компанії. Дослідники Sophos виявили, що під час дії шкідливої спам-кампанії той же вразливий сервер також використовувався для фінансового шахрайства. Використовуючи знання, отримані злочинцями з викраденого потоку електронної пошти, вони використовували друкарські помилки, щоб спробувати переконати працівників постраждалої компанії перенаправити грошову операцію, призначену для клієнта, до зловмисників. І підступне шахрайство мало не вдалось: переказ кіберзлочинцям уже був схвалений, але, на щастя, банк запідозрив і зупинив транзакцію в останній момент.
Одного лише латання недостатньо
У коментарі Метью Евертса, аналітика Sophos Rapid Response та одного з авторів дослідження, йдеться:
«У типовій атаці Squirrelwaffle через вразливий сервер Exchange атака закінчується, коли захисники виявляють і виправляють уразливість, виправляючи вразливості та позбавляючи зловмисника можливості надсилати електронні листи через сервер. Проте в інциденті, який ми розслідували, такий захід не запобіг би фінансовому шахрайству, оскільки зловмисники експортували потік електронної пошти про платежі клієнтів із сервера Exchange жертви. Це гарне нагадування про те, що одних тільки латок не завжди достатньо для захисту. Наприклад, уразливі сервери Exchange також повинні переконатися, що зловмисники не залишили веб-оболонку для підтримки доступу. А коли мова заходить про складні атаки соціальної інженерії, такі як ті, що використовуються для викрадення ланцюжків електронної пошти, навчання співробітників тому, на що слід звернути увагу та як повідомити про це, має вирішальне значення для виявлення».
Допомога постраждалим компаніям: посібник з інцидентів Squirrelwaffle
Разом з поточною статтею Sophos також опублікував Посібник з інцидентів Squirrelwaffle, який містить покрокові інструкції щодо того, як розслідувати, аналізувати та реагувати на інциденти, пов’язані з цим дедалі популярнішим завантажувачем шкідливих програм. Він розповсюджується як зловмисний документ Office у спам-кампаніях і дозволяє кіберзлочинцям закріпитися в середовищі жертви та створити канал для розповсюдження та зараження систем іншими зловмисними програмами.
Посібник є частиною серії посібників із інцидентів, створених групою швидкого реагування Sophos, щоб допомогти особам, які займаються реагуванням на інциденти, і групам із забезпечення безпеки визначити та усунути типові інструменти, методи та поведінку загроз. Його можна завантажити безкоштовно.
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.