Поделиться
Взломщики банков научились подкладывать хакерские файлы в переписку на Microsoft Exchange
Используя, предположительно, уязвимость ProxyShell в серверах Microsoft Exchange, злоумышленники подсовывают в чужие переписки средства загрузки вредоноса IcedID — банковского троянца, активного с 2017 г. Патч к ProxyShell был выпущен почти год назад.Бомбардировка Exchange
Модульный банковский троянец IcedID, впервые замеченный в 2017 г., обрел «второе дыхание» в конце марта 2022 г. Как выяснили эксперты компании Intezer, операторы троянца стали вклиниваться в электронную переписку на серверах Microsoft Exchange и подгружать в нее малозаметные вредоносные компоненты. Фальшивые письма с вредоносными вложениями выглядят как нечто релевантное обсуждаемой теме, так что шанс пострадать у участников дискуссии немало.
Для успешной атаки злоумышленникам требуется сначала получить контроль над почтовым аккаунтом, который участвует в той же переписке, что и потенциальная жертва.
Судя по всему, злоумышленники использовали уязвимости в серверах Microsoft Exchange, чтобы выкрадывать реквизиты доступа к почтовым ящикам. Эксперты Intezer отметили, что многие скомпрометированные серверы были доступны из глобальной Сети, и что на них отсутствовали патчи против уязвимости ProxyShell. Вполне вероятно, именно она использовалась в качестве точки входа для первичного проникновения.
Кроме того, аналитики наблюдали множество вредоносных сообщений, отправленных из внутренних корпоративных серверов Exchange с использованием локальных IP-адресов внутри доверенных доменов. Это также использовалось злоумышленниками для маскировки.
Microsoft уже почти год назад выпустила исправления от ProxyLogon и ProxyShell; системным администраторам настоятельно рекомендуется накатить их, если это еще не сделано, чтобы снизить степень ненужного риска.
Структура атаки
Общая структура атаки выглядела следующим образом. Злоумышленники вбрасывали в скомпрометированную переписку ZIP-архив, который содержал файл ISO. В нем скрывались файлы LNK (якобы документ) и DLL. При попытке открытия документа запускалось системное приложение regsvr32.exe для активации DLL-файла и запуска загрузчика IcedID GZiploader. Тот хранится в зашифрованном виде в самом DLL-файле; после вычленения GZiploader загружается непосредственно в память устройства.
Этот вредонос собирает базовые данные о зараженной системе и отправляет их на контрольный сервер, откуда, по-видимому, закачиваются дополнительные вредоносные модули.
Кампания продолжается до сих пор. Когда именно она началась, остается пока неизвестным.
Чьи ушки?
Издание Bleeping Computer указывает, что в ноябре 2021 г. Trend Micro описывала волну атак, использовавших уязвимости ProxyShell и ProxyLogon в серверах Microsoft Exchange. Их целью также было вторжение в чужие переписки и подгрузка в них вредоносных документов.
Предположительным оператором той кампании была группировка TR, про которую известно, что она использует множество разных вредоносных инструментов, включая Qbot, IcedID и Squirrel Waffle. Все эти вредоносы были задействованы в аналогичных атаках на электронную переписку.
Со своей стороны, в Intezer полагают, что нынешняя волна атак исходит от другой группировки — TA551. По мнению экспертов, на ее причастность указывает использование regsvr32.exe для запуска DLL и защищенных ZIP-файлов. Есть ли какая-то связь между TR и TA551, пока не ясно.
«Прямой связи может и не быть, злоумышленники и кибершпионы активно отслеживают деятельность друг друга и перенимают успешные методы и инструментарий, — говорит Алексей Водясов, технический директор компании SEQ. — Метод внедрения вредоносов в обширную почтовую переписку раз за разом доказывает свою эффективность. Ключевой, однако, является проблема незащищенных серверов Exchange: своевременная установка патчей и файерволлов помогла бы не допустить многих проблем».
Поделиться
Короткая ссылка
