Nový malware Squirrelwaffle využívá zranitelnost Exchange serveru

23. 2. 2022. (redaktor: František Doupal, zdroj: Sophos)
Sophos odhalil malware Squirrelwaffle a podvody využívající tuto zranitelnost Exchange serveru. V této souvislosti společnost zveřejnila příručku Squirrelwaffle Incident Guide pro bezpečnostní specialisty. Dokument obsahuje odpovědi na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti Sophosu.

Sophos zveřejnil novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange a hromadné distribuci Squirrelwaffle interním i externím příjemcům, kdy byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“, kterými se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Matthew Everts, analytik týmu rychlé reakce na bezpečnostní hrozby společnosti Sophos a jeden z autorů výzkumu, uvedl, že: „Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru. Nicméně při vyšetřování incidentu prováděném službou Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti. To je dobrá připomínka toho, že samotné záplatování k ochraně vždy nestačí. Například v případě zranitelných Exchange serverů je třeba také zkontrolovat, zda si útočníci nezanechali zadní vrátka pro zachování přístupu. A pokud jde o sofistikované útoky sociálního inženýrství, jako jsou ty, které se používají při krádežích e-mailových vláken, je pro jejich odhalení zásadní poučit zaměstnance o tom, na co si mají dávat pozor a jak takové útoky hlásit."

Průvodce Squirrelwaffle incidentem

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem, který se šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

Příručka je součástí série dokumentů k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby společnosti Sophos (Sophos Rapid Response) s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Štítky: 
Bezpečnost, Malware, Exchange, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více