Sophos zveřejnil novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange a hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.
Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“, kterými se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.
Matthew Everts, analytik týmu rychlé reakce na bezpečnostní hrozby společnosti Sophos a jeden z autorů výzkumu, uvádí, že „typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru. Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti. To je dobrá připomínka toho, že samotné záplatování k ochraně vždy nestačí.
Například v případě zranitelných Exchange serverů je třeba také zkontrolovat, zda si útočníci nezanechali zadní vrátka pro zachování přístupu. A pokud jde o sofistikované útoky sociálního inženýrství, jako jsou ty, které se používají při krádežích e-mailových vláken, je pro jejich odhalení zásadní poučit zaměstnance o tom, na co si mají dávat pozor a jak takové útoky hlásit.“
Průvodce Squirrelwaffle incidentem
Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem, který se šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.
Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby společnosti Sophos (Sophos Rapid Response) s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.
Volně dostupné zdroje bezpečnostních informací
Taktiky, techniky a postupy (TTP) a další aktuální informace týkající se různých typů hrozeb jsou k dispozici na webu SophosLabs Uncut. Informace o chování útočníků, zprávy o aktuálních incidentech a rady pro specialisty na bezpečnostní operace zpřístupňuje Sophos také na stránkách Sophos News SecOps. Tým expertů Sophos Rapid Response a Managed Threat Response Team publikoval čtyři ověřené rady pro reakci na bezpečnostní incident a nejnovější bezpečnostní zprávy a názory najedete i na oceňovaném zpravodajském webu Naked Security nebo na stránkách Sophos News. Podrobnosti o vývoji prostředí kybernetických hrozeb najdete ve zprávě Sophos 2022 Threat Report.