LEBIGDATA.FR I.A, Cloud & Cybersécurité
Selon les chercheurs en sécurité de Trend Micro, Squirrelwaffle est apparu pour la première fois comme un nouveau loader en septembre. Le Malware se propage via des campagnes de spam. Celui-ci est connu pour envoyer ses emails malveillants en réponse à des chaînes de messagerie préexistantes.
Des intrusions provenant des serveurs Microsoft Exchange
Les intrusions observées par les chercheurs provenaient de serveurs Microsoft Exchange sur site qui semblaient vulnérables à ProxyLogon et ProxyShell. Selon les chercheurs, il y avait des preuves des exploits sur les vulnérabilités CVE-2021-26855, CVE-2021-34473 et CVE-2021-34523. Et ce, dans les journaux IIS sur trois des serveurs Exchange qui ont été compromis dans différentes intrusions.
Les mêmes CVE ont été utilisés dans les intrusions ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473 et CVE-2021-34523). Microsoft a publié un correctif pour ProxyLogon en mars. Ceux qui ont appliqué les mises à jour de mai ou de juillet sont protégés des vulnérabilités ProxyShell.
Dans un cas, tous les utilisateurs internes du réseau concerné ont reçu des courriers indésirables. Ces derniers ont été envoyés en tant que réponses légitimes aux fils de discussion existants.
Un chemin d'accès au courrier interne pour la diffusion des emails malveillants
Les chercheurs ont analysé les en-têtes des emails malveillants reçus. Ils ont découvert que le chemin d'accès au courrier était interne. Cela indique que les emails ne provenaient pas d'un expéditeur externe, d'un relais de messagerie ouvert ou d'un agent de transfert de messages (MTA).
Cette méthode de diffusion de spam réduira la possibilité de détecter ou d'arrêter l'attaque. En effet, les fuites de courrier ne pourront filtrer ou mettre en quarantaine aucun de ces emails internes.
Par ailleurs, pour ne pas être détectés, les hackers n'avaient pas abandonné ni utilisé d'outils de déplacement latéral après avoir accédé aux serveurs Exchange vulnérables. De plus, aucun Malware n'a été exécuté sur les serveurs Exchange. Ceci, afin d'éviter de déclencher des alertes avant que l'email malveillant ne puisse se propager dans l'environnement.
- Partager l'article :
