Hlavní navigace

Sophos: Na neaktualizovaný server Microsoft Exchange cílil malware Squirrelwaffle

18. 2. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: Fotolia © ktsdesign
Sophos v souvislosti s incidentem zveřejnil příručku, kde odpovídá na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti společnosti.

Společnost Sophos zveřejnila novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange.

V rámci útoku podle analytiků zároveň docházelo k hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“.

Nové články do mailu

 

Chcete mít každý týden přehled o informacích pro resellery, dodavatele služeb a profesionály v prodejním kanále IT a CE? Objednejte si náš mailový servis. Objednat si lze i newsletter To hlavní, páteční souhrn nejdůležitějších článků ze serverů vydavatelství Internet Info.

Těmi se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se podle Sophosu téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru,“ popisuje Matthew Everts ze Sophosu.

Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti,“ dodává.

Průvodce incidentem s veverkou

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem.

Ten se podle Sophosu šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

CS24

Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby Sophosu s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Zdroj: Sophos

Čtěte dále

Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Sophos: Každý třetí útok ransomwaru na české firmy začíná zneužitím zranitelnosti
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí
Aikit: Průmyslovou automatizaci brzdí náklady a absence znalostí
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
IDC: Trend na vzestupu, dodávky použitých chytrých telefonů rostou
Obrazem: Hustopečské veselení s Joyce
Obrazem: Hustopečské veselení s Joyce
Mercusys MR47BE: Vaše brána do světa Wi-Fi 7
Mercusys MR47BE: Vaše brána do světa Wi-Fi 7
Exclusive Networks: Poskytujeme péči od A do Z
Exclusive Networks: Poskytujeme péči od A do Z