Avvxsejigzdp Q8Tgakrifp6H8C0Nlshhh4Ztdetesv8G Aas Lvfiauo6Jgcrfppkfplpruqyssvepwzyhqalmipqpzyt00Ve0Knel3Qeg1K1Yrqpwzouka Km8Jd Kukbnbxugv Mhyndyw41Km6O2Z77T4Oogqldghgk Ha0Tzfdol Ro Fce6O7N54Uw

Les acteurs de la menace exploitent les exploits ProxyLogon et ProxyShell dans les serveurs Microsoft Exchange non corrigés dans le cadre d’une campagne de spam en cours qui exploite les chaînes de messagerie volées pour contourner les logiciels de sécurité et déployer des logiciels malveillants sur les systèmes vulnérables.

Les résultats proviennent de Trend Micro à la suite d’une enquête sur un certain nombre d’intrusions au Moyen-Orient qui a abouti à la distribution d’un chargeur jamais vu auparavant surnommé SQUIRRELWAFFLE. D’abord documentées publiquement par Cisco Talos, les attaques auraient commencé à la mi-septembre 2021 via des documents Microsoft Office.

« Il est connu pour envoyer ses e-mails malveillants en réponse à des chaînes d’e-mails préexistantes, une tactique qui abaisse la garde d’une victime contre les activités malveillantes », a déclaré les chercheurs Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar. mentionné dans un rapport publié la semaine dernière. « Pour pouvoir y parvenir, nous pensons que cela impliquait l’utilisation d’une chaîne d’exploits ProxyLogon et ProxyShell. »

Sauvegardes Automatiques Github

ProxyLogon et ProxyShell font référence à un ensemble de failles dans les serveurs Microsoft Exchange qui pourraient permettre à un acteur malveillant d’élever ses privilèges et d’exécuter à distance du code arbitraire, lui donnant ainsi la possibilité de prendre le contrôle des machines vulnérables. Alors que les failles ProxyLogon ont été corrigées en mars, les bogues ProxyShell ont été corrigés dans une série de mises à jour publiées en mai et juillet.

Avvxsehywbtfrq5Muslnixjatznz Q9Ik0Wyu Z6Hvg8Lozsbaejr Txrlvm18Ozvijyeeoyyp0Dvhzdmg8Sdqe9H3Epeot8Dmgunuc25Ywuyp09Kuysm Qh2Nu 3Dlfk7X2Kvxn Dymtklqchaj 2Bopas4Tfiwcbpr3Ptox5Rkukcpgn0Sd1S8Ubdqo1Bu
Flux d’infection DLL

Trend Micro a déclaré avoir observé l’utilisation d’exploits publics pour CVE-2021-26855 (ProxyLogon), CVE-2021-34473 et CVE-2021-34523 (ProxyShell) sur trois des serveurs Exchange qui ont été compromis dans différentes intrusions, en utilisant le accès pour détourner des fils de discussion légitimes et envoyer des messages de spam malveillants en guise de réponses, augmentant ainsi la probabilité que des destinataires sans méfiance ouvrent les e-mails.

Publicité

« L’envoi du spam malveillant à l’aide de cette technique pour atteindre tous les utilisateurs du domaine interne réduira la possibilité de détecter ou d’arrêter l’attaque, car les fuites de courrier ne pourront filtrer ou mettre en quarantaine aucun de ces e-mails internes », ont déclaré les chercheurs, ajoutant les attaquants à l’origine de l’opération n’ont pas effectué de mouvement latéral ni installé de malware supplémentaire afin de rester sous le radar et d’éviter de déclencher des alertes.

Prévenir Les Violations De Données

La chaîne d’attaque implique des messages électroniques malveillants contenant un lien qui, lorsqu’il est cliqué, supprime un fichier Microsoft Excel ou Word. L’ouverture du document, à son tour, invite le destinataire à activer les macros, conduisant finalement au téléchargement et à l’exécution du chargeur de logiciels malveillants SQUIRRELWAFFLE, qui agit comme un moyen de récupérer les charges utiles de la phase finale telles que Cobalt Strike et Qbot.

« Les campagnes SQUIRRELWAFFLE devraient inciter les utilisateurs à se méfier des différentes tactiques utilisées pour masquer les e-mails et les fichiers malveillants », ont conclu les chercheurs. « Les e-mails provenant de contacts de confiance peuvent ne pas suffire à indiquer que le lien ou le fichier inclus dans l’e-mail est sûr. »


Rate this post
Publicité
Article précédentQu’est-ce qu’une crypto-monnaie ou un airdrop NFT, et comment ça marche ?
Article suivantL’événement Apple Black Friday propose des cartes-cadeaux de 50 $ à 200 $ avec des achats éligibles pour iPhone, AirPod, iPad et Mac
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici