Les acteurs de la menace exploitent les exploits ProxyLogon et ProxyShell dans les serveurs Microsoft Exchange non corrigés dans le cadre d’une campagne de spam en cours qui exploite les chaînes de messagerie volées pour contourner les logiciels de sécurité et déployer des logiciels malveillants sur les systèmes vulnérables.

Les résultats proviennent de Trend Micro à la suite d’une enquête sur un certain nombre d’intrusions au Moyen-Orient qui a abouti à la distribution d’un chargeur jamais vu auparavant surnommé SQUIRRELWAFFLE. D’abord documentées publiquement par Cisco Talos, les attaques auraient commencé à la mi-septembre 2021 via des documents Microsoft Office.

« Il est connu pour envoyer ses e-mails malveillants en réponse à des chaînes d’e-mails préexistantes, une tactique qui abaisse la garde d’une victime contre les activités malveillantes », a déclaré les chercheurs Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar. mentionné dans un rapport publié la semaine dernière. « Pour pouvoir y parvenir, nous pensons que cela impliquait l’utilisation d’une chaîne d’exploits ProxyLogon et ProxyShell. »

ProxyLogon et ProxyShell font référence à un ensemble de failles dans les serveurs Microsoft Exchange qui pourraient permettre à un acteur malveillant d’élever ses privilèges et d’exécuter à distance du code arbitraire, lui donnant ainsi la possibilité de prendre le contrôle des machines vulnérables. Alors que les failles ProxyLogon ont été corrigées en mars, les bogues ProxyShell ont été corrigés dans une série de mises à jour publiées en mai et juillet.

Flux d’infection DLL

Trend Micro a déclaré avoir observé l’utilisation d’exploits publics pour CVE-2021-26855 (ProxyLogon), CVE-2021-34473 et CVE-2021-34523 (ProxyShell) sur trois des serveurs Exchange qui ont été compromis dans différentes intrusions, en utilisant le accès pour détourner des fils de discussion légitimes et envoyer des messages de spam malveillants en guise de réponses, augmentant ainsi la probabilité que des destinataires sans méfiance ouvrent les e-mails.

« L’envoi du spam malveillant à l’aide de cette technique pour atteindre tous les utilisateurs du domaine interne réduira la possibilité de détecter ou d’arrêter l’attaque, car les fuites de courrier ne pourront filtrer ou mettre en quarantaine aucun de ces e-mails internes », ont déclaré les chercheurs, ajoutant les attaquants à l’origine de l’opération n’ont pas effectué de mouvement latéral ni installé de malware supplémentaire afin de rester sous le radar et d’éviter de déclencher des alertes.

La chaîne d’attaque implique des messages électroniques malveillants contenant un lien qui, lorsqu’il est cliqué, supprime un fichier Microsoft Excel ou Word. L’ouverture du document, à son tour, invite le destinataire à activer les macros, conduisant finalement au téléchargement et à l’exécution du chargeur de logiciels malveillants SQUIRRELWAFFLE, qui agit comme un moyen de récupérer les charges utiles de la phase finale telles que Cobalt Strike et Qbot.

« Les campagnes SQUIRRELWAFFLE devraient inciter les utilisateurs à se méfier des différentes tactiques utilisées pour masquer les e-mails et les fichiers malveillants », ont conclu les chercheurs. « Les e-mails provenant de contacts de confiance peuvent ne pas suffire à indiquer que le lien ou le fichier inclus dans l’e-mail est sûr. »