Des serveurs Microsoft Exchange piratés lors d’attaques internes par chaîne de réponse

Mirosoft Exchange

Les acteurs de la menace piratent les serveurs Microsoft Exchange à l’aide des exploits ProxyShell et ProxyLogon pour distribuer des logiciels malveillants et contourner la détection à l’aide d’e-mails de chaîne de réponse internes volés.

Lorsque les acteurs malveillants mènent des campagnes par e-mail malveillantes, le plus difficile est d’amener les utilisateurs à faire suffisamment confiance à l’expéditeur pour qu’ils ouvrent des pièces jointes liées ou incluses qui diffusent des logiciels malveillants.

Les chercheurs de TrendMicro ont découvert une tactique intéressante utilisée pour distribuer des e-mails malveillants aux utilisateurs internes d’une entreprise à l’aide des serveurs Microsoft Exchange compromis de la victime.

On pense que les acteurs derrière cette attaque sont « TR », un acteur de menace connu qui distribue des e-mails avec des pièces jointes malveillantes qui suppriment des logiciels malveillants, notamment les charges utiles Qbot, IcedID, Cobalt Strike et SquirrelWaffle.

Afin d’inciter les entreprises cibles à ouvrir des pièces jointes malveillantes, l’acteur malveillant exploite les serveurs Microsoft Exchange à l’aide des vulnérabilités ProxyShell et ProxyLogon.

Les acteurs malveillants utilisent ensuite ces serveurs Exchange compromis pour répondre aux e-mails internes de l’entreprise lors d’attaques de chaîne de réponse contenant des liens vers des documents malveillants qui installent divers logiciels malveillants.

« Dans la même intrusion, nous avons analysé les en-têtes des e-mails malveillants reçus, le chemin de messagerie était interne (entre les boîtes aux lettres des trois serveurs d’échange internes), indiquant que les e-mails ne provenaient pas d’un expéditeur externe, d’un relais de messagerie ouvert ou tout agent de transfert de messages (MTA) », explique Trend Micro rapport.

L'un des e-mails de Squirrelwaffle à une cible
L’un des e-mails de Squirrelwaffle à une cible
Source : TrendMicro

Comme ces e-mails proviennent du même réseau interne et semblent être la continuation d’une discussion précédente entre deux employés, cela conduit à un plus grand degré de confiance que l’e-mail est légitime et sûr.

Non seulement c’est efficace contre les destinataires humains, mais c’est aussi excellent pour ne pas déclencher d’alarmes sur les systèmes de protection des e-mails utilisés dans l’entreprise cible.

Les pièces jointes qui viennent ou sont liées à ces e-mails sont vos modèles Microsoft Excel malveillants standard qui indiquent aux destinataires d’« Activer le contenu » pour afficher un fichier protégé.

Document Microsoft Excel malveillant utilisé par SquirrelWaffle
Document Microsoft Excel malveillant utilisé par SquirrelWaffle

Cependant, une fois que l’utilisateur active le contenu, des macros malveillantes sont exécutées pour télécharger et installer le malware distribué par la pièce jointe, qu’il s’agisse de Qbot, Cobalt Strike, SquirrelWaffle ou d’un autre malware.

Selon le rapport de Trend Micro, les chercheurs ont déclaré avoir vu ces attaques distribuer le chargeur SquirrelWaffle, qui installe ensuite Qbot.

Cependant, le chercheur de Cryptolaemus ‘L’analyste‘ dit que le document malveillant utilisé par cet acteur menaçant supprimez les deux logiciels malveillants en tant que charges utiles discrètes, plutôt que SquirrelWaffle distribuant Qbot.

Gardez vos serveurs Exchange à jour

Microsoft a corrigé les vulnérabilités ProxyLogon en mars et la vulnérabilité ProxyShell en avril et mai, les traitant comme zéro jour à l’époque.

Les acteurs de la menace ont abusé des deux vulnérabilités pour déployer des ransomwares ou installer des webshells pour un accès ultérieur par porte dérobée. Les attaques ProxyLogon sont devenues si graves que le Le FBI a supprimé les shells Web provenant de serveurs Microsoft Exchange compromis basés aux États-Unis sans en informer au préalable les propriétaires des serveurs.

Après tout ce temps et le large média que ces vulnérabilités ont reçu, ne pas appliquer de correctifs aux serveurs Exchange n’est qu’une invitation ouverte aux pirates.