🔥 Công ty CP Phát triển Công nghệ và truyền thông EQ đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Công Nghệ Led DQ Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Công ty Cổ phần Công Nghệ Ledone Việt Nam đã đăng ký tín nhiệm. 🔥                    🔥 Công ty TNHH Đầu Tư Thương Mại Xuất Nhập Khẩu Hải Lộc đã đăng ký tín nhiệm. 🔥                    🔥 Di Động Việt đã đăng ký tín nhiệm. 🔥                   

Tin tặc khai thác lỗ hổng ProxyShell và ProxyLogon trên máy chủ Microsoft Exchange để phán tán mã độc

25/11/2021

Tin tặc đang tấn công máy chủ Microsoft Exchange bằng cách sử dụng các lỗ hổng ProxyShell và ProxyLogon để phát tán phần mềm độc hại và vượt qua hệ thống bảo vệ email bằng cách sử dụng các email nội bộ bị đánh cắp.

Các nhà nghiên cứu của TrendMicro đã phát hiện một chiến dịch phát tán email độc hại đến người dùng nội bộ của công ty bằng cách sử dụng các máy chủ Microsoft Exchange bị xâm phạm.

Kẻ đứng sau cuộc tấn công này được cho là 'TR', kẻ đã phát tán các email có tệp đính kèm chứa mã độc, bao gồm Qbot, IcedID, Cobalt Strike và SquirrelWaffle.

Sau khi khai thác thành công lỗ hổng ProxyShell và ProxyLogon, kẻ tấn công sử dụng các máy chủ Exchange đã bị xâm nhập để gửi các email lừa đảo đến nhân viên công ty, dụ họ mở các tệp đính kèm hoặc truy cập vào các liên kết độc hại trong thư.

Theo báo cáo của Trend Micro, những email này được gửi từ cùng một mạng nội bộ và có nội dung tiếp nối với cuộc thảo luận trước đó giữa hai nhân viên khiến người nhận dễ dàng tin tưởng rằng email đó là hợp pháp và an toàn.

Điều này không chỉ đánh lừa được người nhận mà còn có thể vượt qua hệ thống cảnh báo bảo vệ email.

Khi người nhận mở tệp đính kèm, các macro độc hại sẽ được thực thi để tải xuống và cài đặt các phần mềm độc hại như Qbot, Cobalt Strike, SquirrelWaffle,...

Nhà nghiên cứu Cryptolaemus 'TheAnalyst' cho rằng tệp đính kèm này chứa cả mã độc dưới dạng payload độc hại khác, thay vì SquirrelWaffle.

Hãy luôn cập nhật các máy chủ Exchange

Microsoft đã vá các lỗ hổng ProxyLogon vào tháng 3 và lỗ hổng ProxyShell trong tháng 4 và tháng 5.

Tin tặc đã và đang lạm dụng hai lỗ hổng trên để triển khai  ransomware hoặc cài đặt các  webshell để cài cắm backdoor. Các cuộc tấn công ProxyLogon rất nguy hiểm và nghiêm trọng đến mức FBI đã phải loại bỏ các web shell khỏi các máy chủ Microsoft Exchange bị xâm nhập của Mỹ mà không thông báo trước cho chủ sở hữu của máy chủ.

Máy chủ Exchange luôn là mục tiêu ưa thích của tin tặc. Bạn nên luôn kiểm tra và cập nhật lên phiên bản mới nhất để tránh các nguy cơ bị khai thác tấn công.

Nguồn: bleepingcomputer.com.

scrolltop