Interne Reply-Chain-Angriffe zielen auf Microsoft Exchange-Server ab und nutzen Schwachstellen wie die ProxyShell- und ProxyLogon-Schwachstellen, um bösartige E-Mails zu versenden. Die Angreifer fügen Links zu bösartigen Dokumenten in den E-Mail-Text ein und verwenden dann die Malware, um die gesendeten Befehle auszuführen. Sie können feststellen, ob Ihr Server infiziert ist, indem Sie eine einfache Suche im Administrator-Audit-Protokoll in Exchange durchführen.
Schwachstellen in ProxyShell und ProxyLogon
Eine aktuelle Malware-Kampagne, die auf Microsoft Exchange-Server abzielt, nutzt Schwachstellen in ProxyShell und ProxyLogon aus und nutzt gestohlene interne Antwortketten-E-Mails. Der Bedrohungsakteur, der hinter der Kampagne steht, ist als TR bekannt und für den Versand von bösartigem Spam von kompromittierten Exchange-Servern verantwortlich. Die Angreifer nutzen den anfälligen Code, um die E-Mail-Anhänge mit bösartigen Nutzdaten wie Qbot, IcedID und Cobalt Strike zu verteilen. Die Angreifer verleiten die Opfer auch dazu, auf Links zu klicken oder bösartige Dateien im Anhang herunterzuladen. Anfang dieses Monats berichteten sowohl TrendMicro als auch IBM, dass diese Angriffe die ausgenutzte Schwachstelle im Microsoft Exchange Server nutzen.
Angriffsziele Unternehmen und Regierungsorganisationen
Die Angreifer nutzen die gestohlenen Reply-Chain-E-Mails, um eine Reihe von Zielen anzugreifen, darunter Unternehmen und Regierungsorganisationen. Diese Angriffe stehen nicht in direktem Zusammenhang mit der ProxyShell- oder ProxyLogon-Schwachstelle, aber sie haben dieselbe zugrunde liegende Schwachstelle: die ProxyShell. Diese Schwachstelle ist der Hauptgrund dafür, dass die Angriffe als interne Reply-Chain-Angriffe bezeichnet werden. Sie zielen darauf ab, ein Zielsystem mit Malware zu infizieren.
E-Mails mit infizierten Dokumenten
Bei diesem Angriff kapert eine Gruppe von Angreifern einen Microsoft Exchange-Server mithilfe einer ProxyShell-Schwachstelle und nutzt die daraus resultierenden E-Mails zur Verbreitung von Malware. Die E-Mails enthalten Links zu infizierten Dokumenten, über die Informationen gestohlen werden. Infolgedessen haben die Angreifer diese Angriffe erfolgreich ausgenutzt. Die Forscher entdeckten auch eine E-Mail-Verteilungsmethode, die es ermöglicht, Malware über interne E-Mails zu versenden.
Diese bösartigen E-Mails werden von einem Bedrohungsakteur über eine allgemeine Schwachstelle im ProxyShell- und ProxyLogon-System verbreitet. Die Angreifer nutzen die E-Mails, um eine Nutzlast von Malware zu verbreiten. Zu diesen Nutzlasten gehören Qbot, IcedID, Cobalt Strike und SquirrelWaffle. Diese Viren sind darauf ausgelegt, E-Mail-Empfänger zu infizieren.
Spam-E-Mails als interne und legitime Antworten getarnt
Zusätzlich zum Phishing nutzen diese Angreifer die Schwachstellen von ProxyShell und ProxyLogon, um bösartigen Code auf Ihrem Computer auszuführen. Mit diesen Schwachstellen können die Angreifer die E-Mail-Server Ihres Unternehmens nutzen, um Spam-E-Mails zu versenden, die als legitime Antworten getarnt sind. Der bösartige Code verbreitet sich dann unter den Mitarbeitern. Die Hacker nutzen auch interne E-Mail-Threads, um den Angriff zu starten. Anschließend versenden sie diese Spam-E-Mails an ihre Zielbenutzer.