Server Exchange vulnerabile colpito da Squirrelwaffle e frode finanziaria

Mentre Squirrelwaffle ha sfruttato Exchange per diffondere spam attraverso thread di posta elettronica rubati, un thread è stato fatto sparire dagli aggressori per indurre l'obiettivo ad eseguire un trasferimento di denaro

Il team Sophos Rapid Response ha recentemente indagato su un incidente in cui il malware loader Squirrelwaffle è stato utilizzato insieme agli exploit ProxyLogon e ProxyShell per prendere di mira un server Microsoft Exchange senza patch. Gli aggressori hanno sfruttato il server vulnerabile per distribuire in massa Squirrelwaffle a destinatari interni ed esterni inserendo risposte dannose nei thread di posta elettronica esistenti dei dipendenti (noti come furto dei thread di posta elettronica).

Sophos ha già assistito a un approccio simile, ma in questa occasione si è verificato anche qualcosa di nuovo. Gli investigatori dell’incidente hanno scoperto che durante l’implementazione della campagna di spam dannoso, lo stesso server vulnerabile è stato utilizzato anche per un attacco di frode finanziaria utilizzando le informazioni tratte da un thread di posta elettronica rubato.

Cos’è Squirrelwaffle?

Squirrelwaffle è un malware loader distribuito come documento di Office dannoso nelle campagne di spam. Fornisce agli aggressori un punto d’appoggio iniziale nell’ambiente di una vittima e un canale per distribuire e infettare i sistemi con altri malware. Quando un destinatario apre un documento infettato da Squirrelwaffle e abilita le macro, uno script visual basic

in genere scarica ed esegue Cobalt Strike Beacon, dando il controllo del computer a un utente malintenzionato.

La svolta

In un tipico attacco Squirrelwaffle che sfrutta un server Exchange vulnerabile, l’attacco termina quando i difensori rilevano e rimediano alla violazione correggendo le vulnerabilità, eliminando la capacità dell’attaccante di inviare e-mail attraverso il server.

Nell’incidente su cui ha indagato Sophos Rapid Response, tuttavia, tale rimedio non avrebbe fermato l’attacco di frode finanziaria perché gli aggressori avevano esportato un thread di posta elettronica sui pagamenti dei clienti dal server Exchange della vittima. (Inoltre, come indicato di seguito, l’applicazione di patch non è la soluzione finale per riparare i server Exchange vulnerabili, è inoltre necessario indagare per vedere se c’è stato qualche altro impatto, come l’installazione di web shell.)

Utilizzando le informazioni ottenute dal thread, gli aggressori hanno registrato un dominio “typo-squatted” (che sembra essere il dominio della vittima ma con un piccolo errore di battitura) che hanno poi utilizzato per rispondere al thread di posta elettronica. Spostare la conversazione fuori dall’infrastruttura di posta elettronica della vittima ha dato agli aggressori il controllo operativo su ciò che è successo in seguito.

Gli aggressori hanno risposto al thread di posta elettronica utilizzando gli indirizzi e-mail del dominio con errori di battitura e hanno tentato di reindirizzare a sé stessi i pagamenti del cliente della vittima.

Per aggiungere ulteriore legittimità alla conversazione, gli aggressori hanno copiato indirizzi e-mail aggiuntivi per dare l’impressione di richiedere supporto a un dipartimento interno. In effetti, anche gli indirizzi aggiuntivi sono stati creati dall’attaccante sotto il dominio typo-squatted.

Gli aggressori hanno posto le basi per il reindirizzamento di una transazione finanziaria legittima su un conto bancario sotto il loro controllo. In seguito, un’e-mail di follow-up faceva riferimento ai nuovi dettagli bancari e cercava di creare un senso di urgenza. Gli aggressori si sono susseguiti nelle comunicazioni quasi ogni giorno per i successivi sei giorni con un tono sempre più concitato.

Dopo aver ricevuto un’e-mail che indicava che il pagamento era in elaborazione l’aggressore ha cambiato tono.

Gli attaccanti avevano quasi raggiunto il loro obiettivo. L’organizzazione vittima ha avviato un trasferimento di denaro agli aggressori, tuttavia, uno degli istituti finanziari coinvolti nella transazione ha segnalato la transazione come fraudolenta e quindi il trasferimento non è stato completato.

Protezione da attacchi di posta elettronica dannosi

Il più grande passo che i difensori possono intraprendere per prevenire la compromissione e l’abuso dei server Microsoft Exchange locali è assicurarsi che siano stati aggiornati con gli aggiornamenti più recenti di Microsoft.

Successivamente, i difensori possono rendere più semplice per altre organizzazioni determinare la legittimità delle e-mail provenienti dal loro dominio, ad esempio implementando standard riconosciuti dal settore per l’autenticazione e-mail, come SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC (Domain Message Authentication Reporting and Conformance.) L’utilizzo di questi standard può rendere più difficile per un utente malintenzionato inviare e-mail contraffatte che impersonano il tuo dominio.

Man mano che gli aggressori diventano sempre più abili nell’ingegneria sociale, creando sofisticate esche di phishing, messaggi con false identità e altro, potrebbe essere il momento di iniziare a utilizzare prodotti per la sicurezza della posta elettronica che integrino l’intelligenza artificiale.

Infine, ma non meno importante, i difensori devono proteggere i destinatari di tali e-mail e garantire che gli utenti della loro organizzazione possano individuare i tentativi di phishing e sapere come segnalarli e affrontarli.

Sono stato attaccato – e adesso?

Se sospetti di essere stato il bersaglio di uno Squirrelwaffle o di un attacco di frode finanziaria, ci sono alcuni passaggi pratici che puoi intraprendere.

  • Utilizza la Sophos Rapid Response Squirrelwaffle Incident Guide per investigare, analizzare e rispondere a un incidente che coinvolge Squirrelwaffle.
  • Implementa il tuo piano di incident response. Se non ne possiedi uno o ritieni di non avere le risorse giuste per contenere e neutralizzare l’attacco, chiama un team di incident response di terze parti, come Sophos Rapid Response.
  • Procurati le patch. Aggiorna il software su qualsiasi server Microsoft Exchange locale vulnerabile e controlla dopo l’applicazione delle patch che non ci siano eventuali Web shell lasciate dagli aggressori per un accesso successivo.
  • Se il tuo dominio ha subito un typo-squatting, puoi presentare un reclamo per abuso al Registrar del dominio typo-squatted. Questo processo varia a seconda del Registrar.
  • Se è stata condotta una campagna di spam dannosa dal tuo server Exchange compromesso, assicurati che il dominio legittimo o l’infrastruttura di posta elettronica della tua organizzazione non sia stato contrassegnato come mittente di spam. Controlla se sei stato inserito nella Black List. Puoi chiedere di essere rimosso dall’elenco, ma a volte vale la pena rimanerci fino a quando non viene rilevato ulteriore spam dal tuo dominio in quanto ciò potrebbe aiutare a impedire che alcune delle tue e-mail legittime vengano inavvertitamente consegnate a destinatari esterni.

In conclusione

La combinazione di Squirrelwaffle, ProxyLogon e ProxyShell è stata rilevata più volte dal team Sophos Rapid Response negli ultimi mesi, ma questa è la prima volta che abbiamo visto aggressori utilizzare il typo-squatting per mantenere la capacità di inviare spam una volta che il server Exchange è stato riparato.

 

 

 

 

 

Hanno contribuito a questo articolo anche Kyle Link e Mauricio Valdivieso del team Sophos Rapid Response