Hlavní navigace

Sophos: Na neaktualizovaný server Microsoft Exchange cílil malware Squirrelwaffle

18. 2. 2022
Doba čtení: 2 minuty

Sdílet

 Autor: Fotolia © ktsdesign
Sophos v souvislosti s incidentem zveřejnil příručku, kde odpovídá na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti společnosti.

Společnost Sophos zveřejnila novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange.

V rámci útoku podle analytiků zároveň docházelo k hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“.

Nové články do mailu

 

Chcete mít každý týden přehled o informacích pro resellery, dodavatele služeb a profesionály v prodejním kanále IT a CE? Objednejte si náš mailový servis. Objednat si lze i newsletter To hlavní, páteční souhrn nejdůležitějších článků ze serverů vydavatelství Internet Info.

Těmi se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se podle Sophosu téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru,“ popisuje Matthew Everts ze Sophosu.

Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti,“ dodává.

Průvodce incidentem s veverkou

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem.

Ten se podle Sophosu šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

Channelworld_ozveny

Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby Sophosu s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Zdroj: Sophos

Byl pro vás článek přínosný?

Čtěte dále

Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
Fortinet se připojuje k iniciativě EK ohledně vzdělávání v kyberbezpečnosti
N-able: K přechodu na MSP služby motivují hlavně výpadky IT
N-able: K přechodu na MSP služby motivují hlavně výpadky IT
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
TD Synnex bude i nadále distributorem VMware by Broadcom v České republice
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
GFI Software: Úspěšnost útoků zvyšuje podceňování hrozeb i neopatrnost uživatelů
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně
IDC: Dodávky nositelné elektroniky by příští rok mohly růst dvouciferně
Reportáž: Dusíková show a spousta novinek na eD Expo 2024
Reportáž: Dusíková show a spousta novinek na eD Expo 2024