骇客正利用微软Exchange Server漏洞于企业内部寄送恶意文件

思科旗下的资安团队Talos在今年10月揭露了一个新的恶意程式家族Squirrelwaffle，Squirrelwaffle主要透过垃圾邮件散布，而趋势科技则在上周指出，他们分析了几个发生在中东的Squirrelwaffle感染案例，相信骇客同时使用了ProxyLogon与ProxyShell攻击程式，渗透企业的Exchange Server，再滥用其回复邮件的功能让受害者上勾。

ProxyLogon是由4个Exchange Server上的漏洞组成，包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858与CVE-2021-27065，这4个漏洞皆属于内部部署的Exchange Server漏洞，由于已发生攻击事件，使得微软于今年3月初展开紧急修补。至于ProxyShell则是由CVE-2021-34473、CVE-2021-34523以及CVE-2021-31207等3个漏洞所构成，也是在今年4月便修补。

至于趋势科技则在最近的Squirrelwaffle攻击事件中，观察到骇客是透过其中的预先认证代理人漏洞CVE-2021-26855、预先认证路径混淆漏洞CVE-2021-34473，以及Exchange PowerShell后端权限扩张漏洞CVE-2021-34523渗透了企业的Exchange Server，而且相关的攻击程式都已可公开取得。

值得注意的是，在骇客渗透到企业的邮件服务器之后，受害者所收到的恶意信件并不是一个新的邮件，而是同事之间的邮件往来或回复，且不管是寄件者或是收件人的账号名称都是真正存在于该网域的，而更能取得受害者的信赖，进而点选邮件中的连结，并开启恶意的Excel档案。

图片来源_趋势科技

图片来源_趋势科技

再仔细分析邮件的路径，发现其原始邮件也是来自内部的寄送者，因而降低了被侦测到的机会。

借由垃圾邮件散布的Squirrelwaffle通常是先找到于受害系统的立足点，再根据目的以递送其它的恶意程式，诸如Qakbot或Cobalt Strike等。

趋势科技警告，这意谓著来自可靠对象发送的电子邮件，已经不足以作为全然信赖的指标，因为邮件中所夹带的连结或档案也可能是恶意的，也呼吁企业或组织别忘了修补ProxyLogon与ProxyShell漏洞。