Sophos: Na neaktualizovaný server Microsoft Exchange cílil malware Squirrelwaffle

18. 2. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: Fotolia © ktsdesign
Sophos v souvislosti s incidentem zveřejnil příručku, kde odpovídá na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti společnosti.

Společnost Sophos zveřejnila novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange.

V rámci útoku podle analytiků zároveň docházelo k hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“.

Nové články do mailu

 

Chcete mít každý týden přehled o informacích pro resellery, dodavatele služeb a profesionály v prodejním kanále IT a CE? Objednejte si náš mailový servis. Objednat si lze i newsletter To hlavní, páteční souhrn nejdůležitějších článků ze serverů vydavatelství Internet Info.

Těmi se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se podle Sophosu téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru,“ popisuje Matthew Everts ze Sophosu.

Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti,“ dodává.

Průvodce incidentem s veverkou

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem.

Ten se podle Sophosu šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

ICTS24

Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby Sophosu s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Zdroj: Sophos

Čtěte dále

IDC: Silný podzimní vzestup tabletů, dodávky vyrostly o 20 %
IDC: Silný podzimní vzestup tabletů, dodávky vyrostly o 20 %
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
Coffee break: Když Wi-Fi potřebuje překonávat i kovové zdi
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
HPE ocenilo partnery roku 2024, nejlepším distributorem je DNS
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
Datart: Gamingu kralují konzole, před PC je preferují dvě třetiny kupujících
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
IDC: Dodávky průmyslových tiskáren stagnují, výkonnost segmentů se ale liší
AT Computers je opět nejlepším distributorem klientských zařízení Dell
AT Computers je opět nejlepším distributorem klientských zařízení Dell