Ciberdelincuentes están secuestrando correos electrónicos mediante las vulnerabilidades de ProxyLogon
Ciberdelincuentes están explotando las vulnerabilidades de ProxyLogon y ProxyShell en Microsoft Exchange Server para secuestrar correos electrónicos. Los correos secuestrados están siendo usados para enviar spam, según los investigadores.
Lo que todavía no está claro es si los ataques están enviando SquirrelWaffle o si SquirrelWaffle es solo una pieza de malware entre varios que están enviando las campañas. SquirrelWaffle es el nuevo cargador de correo electrónico que apareció en septiembre,.
Los investigadores de Cisco Talos se enteraron por primera vez de las campañas de malspam con SquirrelWaffle a partir de mediados de septiembre. En esa fecha fue cuando vieron documentos de Microsoft Office con objetos ocultos que enviaban el malware Qakbot y la herramienta de prueba de penetración Cobalt Strike. Estas son dos de las amenazas más comunes observadas regularmente dirigidas a organizaciones de todo el mundo. Office documenta los sistemas infectados con SquirrelWaffle en la etapa inicial de la cadena de infección.
Las campañas de SquirrelWaffle son conocidas por utilizar hilos de correo electrónico robados para aumentar las posibilidades de que una víctima haga clic en enlaces maliciosos. Esos enlaces manipulados se incluyen en una respuesta de correo electrónico, de manera similar a cómo se sabe que funciona el virulento malware Emotet. Emotet generalmente se propaga a través de correos electrónicos o mensajes de texto maliciosos.
Estrategia rebuscada para evitar la detección
En un informe publicado recientemente, los investigadores de Trend Micro, Mohamed Fahmy, Sherif Magdy y Abdelrhman Sharshar dijeron que secuestrar las respuestas de correo electrónico para malspam es una buena manera de pasar por alto las sospechas de spam de ambas personas. Esto evita ser marcado o puesto en cuarentena por las herramientas de análisis de correo electrónico.
Enviar el spam malicioso usando esta técnica para llegar a todos los usuarios del dominio interno disminuye la posibilidad de detectar o detener el ataque. Esto porque el correo [pasarelas] no podrá filtrar o poner en cuarentena ninguno de estos correos electrónicos internos.
El atacante tampoco instaló, ni usó, herramientas para el movimiento lateral después de obtener acceso a los servidores Exchange vulnerables. Por lo tanto, no dejaron rastros, ya que no detectaron actividades sospechosas en la re”. Además, no se ejecutó ningún malware en los servidores de Exchange que activara ninguna alerta antes de que el correo electrónico malicioso se propagara por el entorno.
Campaña en Medio Oriente
El equipo de Respuesta a Incidentes de Trend Micro había decidido investigar lo que los investigadores creen que son intrusiones relacionadas con SquirrelWaffle en el Medio Oriente. El objetivo es averiguar si los ataques involucraban las notorias vulnerabilidades del servidor Exchange.
El equipo compartió una captura de pantalla, que se muestra a continuación. La captura es representativa de las respuestas de correo electrónico malicioso que aparecieron en todas las bandejas de entrada de los usuarios de una red afectada. Todas eran enviadas como respuestas legítimas a hilos existentes, todas escritas en inglés.
Los investigadores descubrieron que se utilizaron otros idiomas en diferentes regiones fuera del ataque de Oriente Medio que investigaron. Aún así, en las intrusiones que analizaron que estaban fuera de Medio Oriente, la mayoría de los correos electrónicos maliciosos estaban escritos en inglés.
Con esto, los atacantes podrían secuestrar cadenas de correo electrónico legítimas y enviar su spam malicioso como respuestas a dichas cadenas.
¿Quién está detrás de los ataques?
El investigador de Cryptolaemus TheAnalyst difieren con Trend Micro en su premisa de que SquirrelWaffle en realidad está actuando como un instalador de malware para Qbot u otros malwares. Más bien, TheAnalyst afirmó que el actor de amenazas está enviandotanto SquirrelWaffle como Qbot como payloads discretos. Y, la instalación confirmada más reciente de SquirrelWaffle que él ha visto fue en realidad el 26 de octubre.
Con respecto a quién está detrás de la actividad, TheAnalyst dijo que el actor/actividad ha sido identificado como tr01/TR (su ID de afiliado de QakBot). Según los investigadores, su actividad se remonta al menos a 2020. Los atacantes son fáciles de rastrear, dijo TheAnalyst, dados los pequeños ajustes que realizan a sus tácticas, técnicas y procedimientos (TTP).
Uno de esos TTP que utiliza tr01 es agregar enlaces a documentos maliciosos incluidos en cadenas de respuesta robadas. Hasta el momento sabemos que el atacante envía “una multitud de malware” como QakBot, Gozi , IcedID, Cobalt Strike, entre otros.