Según los investigadores de seguridad de TI de Certitude, una firma consultora con sede en Viena que se especializa en riesgos de tecnología de la comunicación y gestión de la información, los actores de amenazas están explotando los servidores Microsoft Exchange sin parches para enviar correos electrónicos de phishing a clientes insospechados.
Esta es otra campaña más en la que se abusa de los servidores Exchange sin parches con fines maliciosos. En agosto de 2021 , se encontraron atacantes apuntando a servidores Exchange sin parches con un ataque ProxyShell: en septiembre de 2021 , los afiliados del ransomware Conti atacaban servidores Exchange sin parches con exploits ProxyShell.
En una entrada de blog , Peter Wagner de la Certeza reveló que da a conocer a principios de noviembre de 2021, la empresa recibió información sobre el phishing Los mensajes enviados a una cuenta de correo electrónico de sus clientes que contiene direcciones URL sospechosas.
Estos correos electrónicos se enviaron como respuestas a mensajes enviados anteriormente, por lo que parecían legítimos. Los encabezados de correo electrónico indicaron que estos se originaron en Exchange de los clientes en lugar de ser falsificados desde fuentes externas.
Correos electrónicos maliciosos identificados por Certitude
Una investigación adicional reveló que los servidores de intercambio en las instalaciones que no han recibido ninguna actualización durante varios meses y que contienen múltiples vulnerabilidades son el objetivo de esta campaña.
Las vulnerabilidades incluyen ProxyShell ( CVE-2021-34473 , CVE-2021-34523 , CVE-2021-31207 ) y ProxyLogon ( CVE-2021-26855 ). Sin embargo, los investigadores no encontraron malware en el servidor de Exchange.
¿Cómo funciona el esquema?
Según los registros de IIS analizados por Certitude, los estafadores utilizaron solicitudes de falsificación de solicitudes del lado del servidor (SSRF) especialmente diseñadas para explotar CVE-2021-26855 centradas en el punto final de la API de servicios web de Exchange. Esto permitió a los estafadores realizar acciones no autorizadas bajo la apariencia de usuarios legítimos.
Los investigadores también notaron que el ItemClass de todos los correos electrónicos en los registros de Exchange que creó el atacante estaba configurado en IPM.Blabla. Cuando los investigadores filtraron estos correos electrónicos en Outlook, se dieron cuenta de que funcionaba para los buzones de correo que recibían los correos electrónicos sospechosos.
Sin embargo, los investigadores notaron que no encontraron esos correos electrónicos en las carpetas Enviados de los usuarios afectados. Aquí hay una muestra de las URL que se ajustan al patrón de expresiones regulares ([az] + \. [A-z0-9] + \. Com \ / [az] + \ / [az] + - [0-9] +) - Muestra: [sdf.wwkwe.com/tatamua/uzaro-3381926]
Más tarde se identificó que las organizaciones afectadas por ataques similares fueron víctimas de una campaña de ataque denominada Squirrelwaffle , una campaña de malspam para entregar Qakbot , Cobalt Strike .
Sin embargo, el equipo de investigación de certeza recomienda a los usuarios que actualicen todas las aplicaciones en ciclos cortos y las parcheen a tiempo.
Fuente: https://www.hackread.com/
No olvides Compartir...
Siguenos en twitter: @disoftin - @fredyavila - @PaolaMRincon
0 Comentarios