11月26日BleepingComputer全球知名家居零售商——宜家正在经历一场持续的网络攻击战。攻击者利用窃取的回复链电子邮件攻击宜家员工。
回复链电子邮件攻击是指攻击者窃取合法的公司电子邮件,然后用嵌入恶意文件的链接回复公司内部电子邮件。由于发件人来自公司,收件人将毫无准备地打开恶意文件,恶意软件将安装在收件人的设备上。
BleepingComputer宜家已发送内部邮件,提醒员工警惕钓鱼邮件攻击:“目前,宜家邮箱的网络攻击正在发生。其他宜家机构、供应商和商业伙伴也受到了同样的攻击,并进一步向宜家内部人员传播恶意邮件。”
(向宜家员工发送内部邮件)
“这意味着带有恶意文件的钓鱼邮件可能来自你的同事或任何外部组织,并以正常通信邮件回复的形式发送到你的邮箱,所以很难检测和判断,我们要求你特别小心。”
宜家IT该团队警告员工,回复链钓鱼邮件包含了结尾的7个数字链接,并提供了一个电子邮件示例。要求员工不要打开这样的电子邮件,无论是谁发送的,并立即向他们报告IT并通过部门Microsoft Teams 通过聊天、电话等渠道联系发件人,核实发送电子邮件的真实性。
(向宜家员工发送钓鱼邮件示例)
攻击者最近开始使用它ProxyShell和ProxyLogin漏洞攻击Microsoft Exchange实施钓鱼攻击活动的内部服务器。
一旦获得服务器访问权限,它们将使用内部Microsoft Exchange服务器对使用被盗电子邮件的公司员工进行回复链攻击。
“我们的电子邮件过滤器可以识别恶意电子邮件并隔离它们。由于电子邮件可能是对正在进行的对话的回复,因此很容易认为电子邮件过滤器是错误的,并从隔离中释放电子邮件。因此,在进一步通知之前,我们将禁止所有人从隔离区释放电子邮件。”宜家通知员工。
钓鱼邮件可用于传播Emotet或Qbot木马部署勒索软件
BleepingComputer通过上述在线钓鱼邮件共享url,识别这是对宜家的攻击。当访问这些时url浏览器将被重定位为名称“charts.zip”下载文件包含恶意Excel文档。附件提示收件人单击“启用内容”或“启用编辑”按钮正确查看,如下所示。
(用于钓鱼活动excel附件)
一旦点击这些按钮,恶意宏将从远程站点下载“bestb.ocx”、“bestb.ocx”和“bestc.ocx”将文件保存到 C:\Datop 文件夹。这些 OCX 文件被重命名为 DLL,并使用 regsvr32.exe 执行命令安装恶意软件。
此前,根据VirusTotal在提交的样本分析中,业界也有类似的安装方式Emotet和Qbot木马钓鱼邮件攻击。Qbot和Emotet木马将导致进一步的网络入侵,并最终在失败的网络上部署勒索软件。
考虑到这种攻击的严重程度和程度Microsoft Exchange宜家已将服务器入侵的可能危害视为重大网络攻击,预计将产生更具破坏性的影响。