Actores maliciosos estan afectando a los servidores de Microsoft Exchange mediante vulnerabilidades de ProxyShell y ProxyLogon con el fin de propagar malware y evitar la detección por medio de correos electrónicos internos de cadena de respuesta robados.
Cuando los atacantes realizan las campañas maliciosas de correo electrónico, lo complicado es engañar a los usuarios a fin de que abran adjuntos que disponen de malware o que incluyan vínculos.
Los investigadores de TrendMicro han anunciado una táctica utilizada para distribuir correo electrónico malicioso a los usuarios internos explotando los servidores de Microsoft Exchange utilizando las vulnerabilidades ProxyShell y ProxyLogon (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065, CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207).
Los actores de la amenaza usan estos servidores de Exchange comprometidos para luego responder a los correos electrónicos internos de la compañía en ataques de cadena de respuesta que contienen enlaces a documentos maliciosos que instalan varios programas maliciosos.
«En la misma intrusión, analizamos los encabezados de correo electrónico para los correos electrónicos maliciosos recibidos, la ruta del correo era interna (entre los buzones de correo de los tres servidores de intercambio internos), lo que indica que los correos electrónicos no se originaron en un remitente externo, retransmisión de correo abierta o cualquier agente de transferencia de mensajes (MTA) «
Trend Micro
Considerando que estos correos se crean en la red interna y parecen ser una continuación de una discusión previa entre dos empleados, genera confianza en que la conversación es legítima y segura, por lo que es excelente para no generar alarmas en los sistemas de protección de correo electrónico utilizados en la empresa objetivo del ataque.
Los archivos adjuntos que vienen o están vinculados a estos correos electrónicos son plantillas estándar de Microsoft Excel maliciosas que les dicen a los destinatarios que ‘Habiliten contenido’ para ver un archivo protegido; sin embargo, una vez que el usuario habilita el contenido, se ejecutan macros maliciosas que permiten descargar e instalar el malware distribuido por el archivo adjunto, ya sea Qbot, Cobalt Strike, SquirrelWaffle u otro malware.
Microsoft ha solucionado las vulnerabilidades de ProxyLogon en marzo y la vulnerabilidad de ProxyShell en abril y mayo, y las abordó como zero day en ese momento.
Los actores de amenazas han abusado de ambas vulnerabilidades para implementar ransomware o instalar webshells para el acceso posterior por la puerta trasera. Los ataques de ProxyLogon se volvieron tan graves que el FBI eliminó los shells web de los servidores Microsoft Exchange comprometidos con sede en EE. UU. sin notificar primero a los propietarios de los servidores.
Más información:
- https://www.bleepingcomputer.com/news/security/microsoft-fixes-actively-exploited-exchange-zero-day-bugs-patch-now/
- https://www.bleepingcomputer.com/news/security/cisa-warns-admins-to-urgently-patch-exchange-proxyshell-bugs/
- https://www.bleepingcomputer.com/news/security/the-microsoft-exchange-hacks-how-they-started-and-where-we-are/
- https://www.bleepingcomputer.com/news/microsoft/microsoft-exchange-servers-are-getting-hacked-via-proxyshell-exploits/