Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na novou vlnu zneužívání zranitelnosti Proxyshell k sofistikovanému doručování phishingových zpráv s malware. Útočníci pomocí zranitelnosti získají přístup k e-mailovým schránkám na serveru, navážou na předchozí legitimní konverzaci a ze schránek poté rozesílají phishing obsahující odkazy na stažení malwaru. Jedná se o techniku obdobnou malwaru Emotet. Útokem dochází nejen k závažnému narušení důvěrnosti e-mailů, ale v případě stažení a spuštění souboru z přiloženého odkazu dochází k infekci daného počítače a dalšímu šíření v síti, které zpravidla vede k zašifrování dat.
E-maily jsou v současně době psané především v angličtině a používají k motivaci ke kliknutí na odkaz témata pozvánek, nezaplacených faktur nebo obecně “důležitých informací”. Jelikož zprávy přichází z legitimního serveru a ze skutečné schránky uživatele, je velmi obtížné zachytit je antispamovým filtrem. Útočníci zároveň maskují svou činnost tím, že se tyto zprávy neukládají do složky Odeslané.
Po kliknutí na odkaz dochází ke stažení excelového souboru obsahující makro, které po spuštění stáhne a spustí malware s označením SquirrelWaffle. Ten slouží jako první fáze k získání kontroly nad systémem, ke sběru dat a stažení dalších nástrojů, zejména Cobalt Strike, pomocí kterého mohou útočníci dále operovat v síti. V konečné fázi dochází ke stažení ransomwaru.
Pro více informací následujte níže uvedený odkaz a pro informace o aktualizacích příslušných verzí Exchange naleznete na stránkách společnosti Microsoft.
https://nukib.cz/cs/infoservis/hrozby/1766-upozorneni-na-kampan-zneuzivajici-zranitelnosti-exchange-server/