Informatika

Sophos odhalil malware Squirrelwaffle a finanční podvody využívající stejnou zranitelnost Exchange serveru

Posted on

Sophos, přední světový poskytovatel řešení kybernetického zabezpečení nové generace, současně zveřejnil novou příručku Squirrelwaffle Incident Guide pro bezpečnostní specialisty, kteří se zabývají operacemi v souvislosti se Squirrelwaffle. Dokument obsahuje odpovědi na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti Sophosu.

Sophos zveřejnil novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange a hromadné distribuci Squirrelwaffle interním i externím příjemcům, v rámci které byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během realizace této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda “typo-squatting”, kterými se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Matthew Everts, analytik týmu rychlé reakce na bezpečnostní hrozby společnosti Sophos a jeden z autorů výzkumu, uvádí, že „typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru. Nicméně při vyšetřování incidentu prováděném v rámci služby Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti. To je dobrá připomínka toho, že samotné záplatování k ochraně vždy nestačí.

Například v případě zranitelných Exchange serverů je třeba také zkontrolovat, zda si útočníci nezanechali zadní vrátka pro zachování přístupu. A pokud jde o sofistikované útoky sociálního inženýrství, jako jsou ty, které se používají při krádežích e-mailových vláken, je pro jejich odhalení zásadní poučit zaměstnance o tom, na co si mají dávat pozor a jak takové útoky hlásit.”

Průvodce Squirrelwaffle incidentem

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem, který se šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

Příručka je součástí série příruček k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby společnosti Sophos (Sophos Rapid Response) s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Volně dostupné zdroje bezpečnostních informací

Taktiky, techniky a postupy (TTP) a další aktuální informace týkající se různých typů hrozeb jsou k dispozici na webu SophosLabs Uncut. Informace o chování útočníků, zprávy o aktuálních incidentech a rady pro specialisty na bezpečnostní operace zpřístupňuje Sophos také na stránkách Sophos News SecOps. Tým expertů Sophos Rapid Response a Managed Threat Response Team publikoval čtyři ověřené rady pro reakci na bezpečnostní incident a nejnovější bezpečnostní zprávy a názory najedete i na oceňovaném zpravodajském webu Naked Security nebo na stránkách Sophos News. Podrobnosti o vývoji prostředí kybernetických hrozeb najdete ve zprávě Sophos 2022 Threat Report.

Populární

TechBiz.cz © 20XX