世界中で利用されているマイクロソフトExchangeメールサーバーをハッキングし、内部のメッセージング機能にアクセスし、企業の顧客や従業員に悪意のあるメールを送信し、マルウェアに感染させようとする攻撃が発生していることがわかりました
Squirrelwaffleは、スパムキャンペーンで拡散される新しいローダーとして登場しており、Squirrelwaffleは悪意のあるメールを既存のメールチェーンへの返信として送信することで知られています。
これはサイバー攻撃に対する被害者の警戒心を低下させる戦術で、この手口ではProxyLogonとProxyShellの両方のエクスプロイトを複合的に使用していたと考えられます。
セキュリティ企業のトレンドマイクロ社が発表したレポートによると、攻撃者は、ProxyLogon(CVE-2021-26855)やProxyShell(CVE-2021-34473およびCVE-2021-34523)などの古い脆弱性に対するパッチが適用されていないExchangeサーバーを特にターゲットにしているようです。
トレンドマイクロ社によると、攻撃者はサーバーにアクセスできるようになると、Powershellの機能を使ってサーバーのメール保存システムを読み取って操作し、参加者全員に新しい返信を挿入して送信することで既存の会話を乗っ取ったとのことです。
研究者によると、返信には悪意のあるExcel文書へのリンクが含まれており、ユーザーが実行を許可すると、Squirrelwaffleマルウェアのバージョンをインストールする悪意のあるマクロスクリプトが含まれていました。
2021年9月に初めて発見されたこのマルウェアは、Emotet、Dridex、TrickBotなどのサイバー犯罪サービスをモデルに構築された新しいマルウェア運用で、Squirrelwaffleが感染したシステムのボットネットへのアクセスを他の脅威グループに貸し出すことができます。
トレンドマイクロが指摘している事件は、メールサーバに侵入してスパムキャンペーンを行うという珍しい例でもあります。
攻撃者は、脆弱なExchangeサーバにアクセスした後、横移動のためのツールを落としたり使用したりしなかったため、不審なネットワーク活動が検出されることはない
さらに、悪意のあるメールが環境に拡散される前に、警告を引き起こすような不正プログラムは、Exchangeサーバ上で実行されていませんでした。
また、トレンドマイクロ社は、この手法を用いて悪意のあるスパムを企業内のユーザーに届くように配信した場合、メール受信者はこの方法で送信されたメールをフィルタリングや検疫することができないため、セキュリティツールが攻撃を検知・阻止する可能性も低くなると指摘しています。
この手法の独創性と有効性から、この新しいスパム手法は他のグループにも模倣されることが確実視されています。
Exchangeサーバーにパッチを適用することは、システムを安全に保つための一つの方法ですが、侵入口として悪用される可能性のあるExchangeのバグは他にも無数にありますので、Exchangeサーバーには常にセキュリティパッチを適用しておくことをお勧めします。
Comments