https://www.zdnet.com/article/squirrelwaffle-loader-leverages-microsoft-exchange-server-vulns-for-financial-fraud/#ftag=RSSbaffb68
Microsoft Exchange Serverに対するSquirrelwaffle、ProxyLogon、およびProxyShellの組み合わせは、電子メールの乗っ取りによる金融詐欺を実行するために使用されています。
火曜日に、ソフォスの研究者は、昨年開示された一連の重大な脆弱性から保護するためにパッチが適用されていないMicrosoft Exchange Serverが、電子メールスレッドの乗っ取りと悪意のあるスパムの拡散を狙った最近の事件を明らかにしました。
この場合、スパムキャンペーンはSquirrelwaffleを広めるために使用されましたが、さらに、攻撃者は電子メールスレッドを抽出し、内部の知識を使用して金融詐欺を実行しました。
攻撃者は、被害者に非常に近い名前のドメインを登録し(タイプミススクワッティングと呼ばれる手法)、このドメインを介して電子メールアカウントを作成し、サーバーの外部の電子メールスレッドに返信しました。
「会話にさらに正当性を加えるために、攻撃者は追加の電子メールアドレスをコピーして、社内部門からのサポートを要求しているように見せかけました」とソフォスは説明しました。
「たとえば、脆弱なExchangeサーバーの場合、アクセスを維持するために攻撃者がWebシェルを置き去りにしていないことも確認する必要があります。また、電子メールスレッドの乗っ取りや教育で使用されるような高度なソーシャルエンジニアリング攻撃についても確認する必要があります。何に注意し、どのように報告するかについての従業員は、検出に不可欠です。」
Squirrelwaffle、金融詐欺に悪用されたMicrosoft ExchangeServerの脆弱性
security summary
コメント