بهره‌برداری هکرها از نقص‌های ProxyLogon و ProxyShell در کمپین‌های اسپم

عوامل تهدید از بهره‌بردارهای ProxyLogon و ProxyShell در سرورهای Microsoft Exchange وصله نشده به‌عنوان بخشی از یک کمپین اسپم در حال انجام استفاده می‌کنند که از زنجیره‌های ایمیل دزدیده‌شده برای دور زدن نرم‌افزارهای امنیتی و استقرار دژافزار در سیستم‌های آسیب‌پذیر استفاده می‌کند.

این یافته‌ها توسط Trend Micro به دنبال تحقیقاتی در مورد تعدادی از نفوذها در خاورمیانه به‌دست‌آمده است که به توزیع یک loader که قبلاً دیده نشده بود با نام SQUIRRELWAFFLE به اوج خود رسید. این حملات اولین بار توسط Cisco Talos به‌صورت عمومی مستند شد[۱] و گمان می‌رود در اواسط سپتامبر ۲۰۲۱ از طریق اسناد آفیس مایکروسافت آغاز شده است.

محققین، محمد فهمی، شریف مجدی، عبدالرحمن شرشار، در گزارشی که هفته گذشته منتشر شد، دراین‌باره گفتند[۲]: “این حملات به دلیل ارسال ایمیل‌های مخرب خود به‌عنوان پاسخ به زنجیره‌های ایمیل از قبل موجود، شناخته شده است، تاکتیکی که گارد قربانی را در برابر فعالیت‌های مخرب کاهش می‌دهد. برای اینکه بتواند این کار را انجام دهد، ما معتقدیم که از هر دو زنجیره‌ی بهره‌بردارِ ProxyLogon و ProxyShell استفاده کرده است.”

ProxyLogon و ProxyShell به مجموعه‌ای از نقص‌ها در سرورهای Microsoft Exchange اشاره می‌کنند[۳و۴] که می‌تواند یک عامل تهدید را قادر سازد تا سطح دسترسی را افزایش دهد و از راه دور کد دلخواه خود را اجرا کند و به‌طور مؤثر توانایی کنترل ماشین‌های آسیب‌پذیر را دارد. درحالی‌که نقص‌های ProxyLogon در ماه مارس برطرف شد، باگ‌های ProxyShell در یک سری به‌روزرسانی‌های منتشرشده در ماه می و جولای اصلاح شدند.

Trend Micro گفت که استفاده از بهره‌بردارهای عمومی برای CVE-2021-26855 (ProxyLogon)، CVE-2021-34473 و CVE-2021-34523 (ProxyShell) را در سه سرور Exchange مشاهده کرده است که در نفوذهای مختلفی با استفاده از دسترسی به ربودن رشته‌های ایمیل قانونی و ارسال پیام‌های هرزنامه مخرب به‌عنوان پاسخ، درنتیجه احتمال باز کردن ایمیل‌ها توسط گیرندگان ناآگاه افزایش می‌یابد.

محققان گفتند: «ارسال هرزنامه‌های مخرب با استفاده از این تکنیک برای دسترسی به همه کاربران دامنه داخلی، احتمال شناسایی یا توقف حمله را کاهش می‌دهد، زیرا getaway های ایمیل‌ نمی‌توانند هیچ‌یک از این ایمیل‌های داخلی را فیلتر یا قرنطینه کنند». مهاجمان پشت این عملیات حرکت جانبی انجام ندادند یا دژافزار اضافی نصب نکردند تا زیر رادار بمانند و از ایجاد هرگونه هشدار جلوگیری کنند.

این زنجیره‌ی حمله شامل پیام‌های ایمیل سرکش حاوی پیوندی است که با کلیک روی آن، یک فایل Microsoft Excel یا Word رها می‌شود. باز کردن سند، به‌نوبه خود، گیرنده را وادار می‌کند تا ماکروها را فعال کند، که درنهایت منجر به دانلود و اجرای loader دژافزار SQUIRRELWAFFLE می‌شود، که به‌عنوان رسانه‌ای برای دریافت payloadهای مرحله نهایی مانند Cobalt Strike و Qbot عمل می‌کند.

محققان نتیجه گرفتند: “کمپین‌های SQUIRRELWAFFLE باید کاربران را نسبت به تاکتیک‌های مختلف مورداستفاده برای پنهان کردن ایمیل‌ها و فایل‌‎های مخرب محتاط کند. ایمیل‌هایی که از مخاطبین مورد اعتماد می‌آیند ممکن است به‌اندازه کافی نشانگر این نباشند که هر پیوند یا فایلی که در ایمیل موجود است، ایمن است.”

منابع

[۱] https://thehackernews.com/2021/10/hackers-using-squirrelwaffle-loader-to.html

[۲] https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html

[۳] https://apa.aut.ac.ir/?p=8229

[۴] https://apa.aut.ac.ir/?p=7863

[۵] https://thehackernews.com/2021/11/hackers-exploiting-proxylogon-and.html