Phát hiện chiến dịch spam sử dụng hai lỗ hổng ProxyLogon và ProxyShell

10:00 | 22/12/2021 | LỖ HỔNG ATTT

Gần đây, các nhà nghiên cứu của Trend Micro nhận thấy rằng tin tặc đang tích cực khai thác lỗ hổng ProxyLogon và ProxyShell trong các máy chủ Microsoft Exchange chưa được vá lỗi. Hoạt động khai thác này là một phần của chiến dịch spam nhằm tận dụng các chuỗi email bị đánh cắp để vượt qua phần mềm bảo mật và triển khai phần mềm độc hại trên các hệ thống dễ bị tấn công.

Chiến dịch spam được Trend Micro phát hiện trong quá trình điều tra các cuộc tấn công ở Trung Đông, với việc phân phối phần mềm độc hại SQUIRRELWAFFLE chưa được biết đến trước đó. Theo quan sát của Cisco Talos, các cuộc tấn công bắt đầu vào giữa tháng 9/2021 thông qua việc phát tán các tài liệu Microsoft Office độc hại.

Các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Việc phát tán phần mềm độc hại bắt đầu bằng việc gửi các email có tài liệu Microsoft Office đính kèm sử dụng kỹ thuật lừa đảo email reply-chain. Reply-chain đề cập đến việc sử dụng nội dung email đã bị đánh cắp trước đó để đưa ra nội dung trả lời phù hợp nhằm đánh lừa người dùng. Để thực hiện được điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng một chuỗi khai thác ProxyLogon và ProxyShell".

ProxyLogon và ProxyShell là một tập hợp các lỗ hổng trong máy chủ Microsoft Exchange có thể cho phép kẻ tấn công nâng cao đặc quyền và thực thi từ xa mã tùy ý, thậm chí kiểm soát hoàn toàn hệ thống. Cả hai lỗ hổng ProxyLogon và ProxyShell đã được Microsoft vá trong các bản vá tháng 3, tháng 5 và tháng 7.

Trend Micro phát hiện các cuộc tấn công thực tế sử dụng các lỗ hổng CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) nhắm vào máy chủ Exchange nhằm đánh cắp các email hợp pháp và gửi các email trả lời độc hại với nội dung phù hợp với các email bị đánh cắp trước đó để tăng mức độ tin tưởng.

Phát hiện chiến dịch spam sử dụng hai lỗ hổng ProxyLogon và ProxyShell

Các nhà nghiên cứu cho biết: "Việc gửi thư rác sử dụng kỹ thuật reply-chain sẽ làm giảm khả năng phát hiện cũng như ngăn chặn tấn công vì hệ thống bảo vệ sẽ không thể lọc hoặc tách biệt các email nội bộ". Ngoài việc sử dụng kỹ thuật này, kẻ tấn công không thực hiện bất kỳ hoạt động độc hại nào khác như cài đặt phần mềm độc hại để tránh khỏi sự phát hiện của các phần mềm bảo mật.

Chuỗi tấn công liên quan đến các email giả mạo có chứa một liên kết mà khi được nhấp vào, tệp Microsoft Excel hoặc Word sẽ tự động tải về máy của nạn nhân. Khi tệp này được mở, người dùng sẽ nhận được lời nhắc bật macro, khi đó quá trình tải xuống và thực thi trình tải phần mềm độc hại SQUIRRELWAFFLE được thực hiện. Mục đích cuối cùng là triển khai các mã độc hại như Cobalt Strike và Qbot.

Theo các chuyên gia, chiến dịch SQUIRRELWAFFLE như một lời cảnh báo tới người dùng trước các kỹ thuật tấn công ngày càng tinh vi của tin tặc. Ngoài việc nhận email từ một địa chỉ đáng tin cậy, việc xem xét các liên kết hoặc tệp tính kèm trong email là rất quan trọng.

Phong Thu

Tổng hợp

‹ › ×

Tin liên quan

Botnet Prometei khai thác lỗ hổng Microsoft Exchange Server chưa được vá

11:00 | 07/05/2021

Tin tặc đang khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server, biến chúng thành các bot trong mạng botnet tiền điện tử có tên Prometei.

Sàn tiền số Việt bị tấn công từ lỗ hổng lớn nhất thập kỷ

15:00 | 29/12/2021

Lỗ hổng Log4Shell cùng sai sót trong cấu hình của Onus bị hacker khai thác, gây rò rỉ dữ liệu của gần hai triệu người đầu tư tiền điện tử.

Cảnh báo lỗ hổng bảo mật trong máy chủ Microsoft Exchange

11:00 | 14/04/2021

Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) vừa phát đi cảnh báo về 04 lỗ hổng bảo mật nghiêm trọng: CVE-2021-28480, CVE-2021-28481, CVE-2021-28482, CVE-2021-28483 trong các máy chủ thư điện tử sử dụng Microsoft Exchange.

Tin cùng chuyên mục

Thêm vụ tấn công mã hóa dữ liệu giống VnDirect, tin tặc đòi 140 triệu USD

10:00 | 10/04/2024

Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Phân tích biến thể mới của phần mềm độc hại SysJoker trong các cuộc tấn công mạng nhắm vào Israel

16:00 | 01/12/2023

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.