Sophos: Na neaktualizovaný server Microsoft Exchange cílil malware Squirrelwaffle

18. 2. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: Fotolia © ktsdesign
Sophos v souvislosti s incidentem zveřejnil příručku, kde odpovídá na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti společnosti.

Společnost Sophos zveřejnila novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange.

V rámci útoku podle analytiků zároveň docházelo k hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“.

Nové články do mailu

 

Chcete mít každý týden přehled o informacích pro resellery, dodavatele služeb a profesionály v prodejním kanále IT a CE? Objednejte si náš mailový servis. Objednat si lze i newsletter To hlavní, páteční souhrn nejdůležitějších článků ze serverů vydavatelství Internet Info.

Těmi se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se podle Sophosu téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru,“ popisuje Matthew Everts ze Sophosu.

Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti,“ dodává.

Průvodce incidentem s veverkou

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem.

Ten se podle Sophosu šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

bitcoin školení listopad 24

Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby Sophosu s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Zdroj: Sophos

Čtěte dále

ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
ComSource: Čtvrtinu dat nahraných z mobilu na internet tvoří obsah pro sociální sítě
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Arrow Electronics je AWS Rising Star Distributor Partner roku v regionu EMEA
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Fortinet: V roce 2025 se připravte na větší a odvážnější útoky
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Vivolink představí svoje ProAV a systémová řešení na veletrhu ISE 2025 v Barceloně
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
Gartner: Šťastné a veselé, výdaje na IT příští rok vzrostou bezmála o desetinu
AT Computers je IDG Distributorem roku společnosti Lenovo
AT Computers je IDG Distributorem roku společnosti Lenovo