Nový malware Squirrelwaffle využívá zranitelnost Exchange serveru

23. 2. 2022. (redaktor: František Doupal, zdroj: Sophos)
Sophos odhalil malware Squirrelwaffle a podvody využívající tuto zranitelnost Exchange serveru. V této souvislosti společnost zveřejnila příručku Squirrelwaffle Incident Guide pro bezpečnostní specialisty. Dokument obsahuje odpovědi na otázky související s malwarem Squirrelwaffle a nástroje, které využívají bezpečnostní experti Sophosu.

Sophos zveřejnil novou zprávu s podrobnostmi o nedávném incidentu, kdy byl malware Squirrelwaffle použit ve spojení s exploity ProxyLogon a ProxyShell k zacílení na neaktualizovaný server Microsoft Exchange a hromadné distribuci Squirrelwaffle interním i externím příjemcům, kdy byly do existujících e-mailových vláken zaměstnanců vloženy podvodné odpovědi.

Bezpečnostní experti zjistili, že během této podvodné kampaně byl stejný zranitelný server použit i k útoku za účelem finančního podvodu, při kterém byly využity znalosti získané z ukradeného e-mailového vlákna a metoda „typo-squatting“, kterými se útočníci snažili přesvědčit zaměstnance, aby přesměrovali legitimní zákaznické finanční transakce na účet útočníků. Podvod se téměř podařil: převod finančních prostředků podvodnému příjemci byl schválen, ale naštěstí banka pojala podezření a transakce byla zastavena.

Matthew Everts, analytik týmu rychlé reakce na bezpečnostní hrozby společnosti Sophos a jeden z autorů výzkumu, uvedl, že: „Typický útok Squirrelwaffle využívající zranitelný Exchange server skončí, když obránci zjistí a napraví narušení opravou či záplatou zranitelnosti, čímž útočníkovi znemožní odesílat e-maily prostřednictvím serveru. Nicméně při vyšetřování incidentu prováděném službou Sophos Rapid Response by útok s cílem finančního podvodu takový krok nezastavil, protože útočníci by již exportovali e-mailové vlákno s informacemi o platbách zákazníků z Exchange serveru oběti. To je dobrá připomínka toho, že samotné záplatování k ochraně vždy nestačí. Například v případě zranitelných Exchange serverů je třeba také zkontrolovat, zda si útočníci nezanechali zadní vrátka pro zachování přístupu. A pokud jde o sofistikované útoky sociálního inženýrství, jako jsou ty, které se používají při krádežích e-mailových vláken, je pro jejich odhalení zásadní poučit zaměstnance o tom, na co si mají dávat pozor a jak takové útoky hlásit."

Průvodce Squirrelwaffle incidentem

Současně s tímto novým reportem zveřejnila společnost Sophos také příručku Squirrelwaffle Incident Guide, která krok za krokem poskytuje návod k vyšetřování, analýze a reakci na incidenty s tímto stále populárnějším malwarem, který se šíří jako podvodný kancelářský dokument ve spamových kampaních a poskytuje útočníkům počáteční oporu v prostředí oběti a kanál pro doručení a infikování systémů dalším malwarem.

Příručka je součástí série dokumentů k incidentům, které vytváří tým rychlé reakce na bezpečnostní hrozby společnosti Sophos (Sophos Rapid Response) s cílem pomoci pracovníkům reagujícím na incidenty a bezpečnostním operačním týmům identifikovat a eliminovat široce rozšířené nástroje, techniky a podvodné chování útočníků.

Štítky: 
Bezpečnost, Malware, Exchange, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více

Patrick Müller (Sophos): Budoucnost je ve spravovaných službách

10. 10. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Patrickem Müllerem, senior channel manažerem společnosti Sophos, jsme hovořili o aktuálním dění v oblasti kybernetické bezpečnosti. V rozhovoru se můžete dočíst nejen o aktuálních trendech v segmentu cyber security, ale také o příležitostech, které vám v kombinaci s produkty a službami společnosti Sophos přináší. Čtěte více

Prodej bezpečnostních zařízení ve 2. čtvrtletí 2024 meziročně vzrostl

16. 9. 2024. (redaktor: František Doupal, zdroj: IDC)
Celkové tržby z prodeje bezpečnostních zařízení ve druhém čtvrtletí roku 2024 meziročně vzrostly o 0,5 % na 4,2 miliardy dolarů, což představuje oproti druhému čtvrtletí roku 2023 nárůst o 20 milionů dolarů. V objemu prodej naopak meziročně klesl o 4,3 % na milion kusů. Čtěte více
Foto: Algotech

Tržby z prodeje bezpečnostních produktů vloni vzrostly o 15,6 %

8. 7. 2024. (redaktor: František Doupal, zdroj: IDC)
Celosvětové tržby za bezpečnostní produkty dosáhly v roce 2023 celkem 106,8 miliardy dolarů, což představuje nárůst o 15,6 % oproti roku 2022. Růst tržeb byl výrazný – podle IDC zaznamenalo dvouciferný meziroční nárůst všech šest sledovaných kategorií. Růst by měl navíc pokračovat přinejmenším do roku 2028. Čtěte více