Aprovechando las vulnerabilidades de Microsoft Exchange ProxyLogon y ProxyShell, los atacantes están haciendo malspam en las respuestas de los hilos existentes y pasando los filtros de correo malicioso.
Los atacantes están aprovechando las vulnerabilidades ProxyLogon y ProxyShell de Microsoft Exchange Server para secuestrar cadenas de correo electrónico, mediante el envío de respuestas maliciosas a los hilos de correo electrónico en curso, dicen los investigadores.
Lo que aún se discute es si la ofensiva está entregando SquirrelWaffle, el nuevo cargador de correo electrónico que apareció en septiembre, o si SquirrelWaffle es sólo una pieza de malware entre varias que las campañas están lanzando.
Los investigadores de Cisco Talos se enteraron por primera vez de las campañas de malware SquirrelWaffle a mediados de septiembre, cuando vieron documentos de Microsoft Office con trampas que contenían el malware Qakbot y la herramienta de pruebas de penetración Cobalt Strike, dos de las amenazas más comunes que se observan regularmente en organizaciones de todo el mundo. Los documentos de Office infectaron los sistemas con SquirrelWaffle en la fase inicial de la cadena de infección.
Las campañas de SquirrelWaffle son conocidas por utilizar hilos de correo electrónico robados para aumentar las posibilidades de que la víctima haga clic en enlaces maliciosos. Estos enlaces amañados se introducen en una respuesta de correo electrónico, de forma similar a como funciona el virulento malware Emotet, que suele propagarse a través de correos electrónicos o mensajes de texto maliciosos.
Pasando por debajo de las narices de la gente
En un informe publicado el viernes, los investigadores de Trend Micro Mohamed Fahmy, Sherif Magdy y Abdelrhman Sharshar afirmaron que secuestrar las respuestas de los correos electrónicos para el malspam es una buena forma de eludir las sospechas de spam de la gente y de evitar ser marcado o puesto en cuarentena por los gateways de correo electrónico.
«Enviar el spam malicioso utilizando esta técnica para que llegue a todos los usuarios del dominio interno disminuirá la posibilidad de detectar o detener el ataque, ya que las [pasarelas] de correo no podrán filtrar o poner en cuarentena ninguno de estos correos internos», escribieron.
El atacante tampoco dejó caer, ni utilizó, herramientas para el movimiento lateral después de obtener acceso a los servidores Exchange vulnerables, dijo Trend Micro. Así, no dejaron ningún rastro, ya que «no se detectaron actividades sospechosas en la red». Además, no se ejecutó ningún malware en los servidores Exchange que activara ninguna alerta antes de que el correo electrónico malicioso se propagara por el entorno.»
Campaña en Oriente Medio
El equipo de Respuesta a Incidentes de Trend Micro había decidido investigar lo que los investigadores creen que son intrusiones relacionadas con SquirrelWaffle en Oriente Medio, para averiguar si los ataques tenían que ver con las famosas vulnerabilidades del servidor Exchange.
Compartieron una captura de pantalla, mostrada a continuación, que es representativa de las respuestas de correo electrónico malicioso que aparecieron en todas las bandejas de entrada de los usuarios de una red afectada, todas enviadas como respuestas legítimas a hilos existentes, todas escritas en inglés.
Descubrieron que se utilizaban otros idiomas en diferentes regiones fuera del ataque de Oriente Medio que examinaron. Aun así, en las intrusiones que analizaron fuera de Oriente Medio, la mayoría de los correos electrónicos maliciosos estaban escritos en inglés, según el informe.
«Con esto, los atacantes podrían secuestrar cadenas de correo electrónico legítimas y enviar su spam malicioso como respuestas a dichas cadenas», escribieron los investigadores.
¿Quién está detrás de esto?
El investigador de Cryptolaemus, TheAnalyst, no está de acuerdo con Trend Micro en su premisa de que SquirrelWaffle está actuando como un dropper de malware para Qbot u otros malwares. Más bien, TheAnalyst afirmó el viernes que el actor de la amenaza está soltando tanto SquirrelWaffle como Qbot como payload discretas, y la más reciente caída confirmada de SquirrelWaffle que ha visto fue en realidad el 26 de octubre.
Con respecto a quién está detrás de la actividad, TheAnalyst dijo que el actor/actividad es rastreado como tr01/TR (su ID de afiliado QakBot) TA577 por Proofpoint y como ChaserLdr por Cryptolaemus y que la actividad se remonta al menos a 2020. Los actores son fáciles de rastrear, dijo TheAnalyst, debido a pequeños ajustes en sus tácticas, técnicas y procedimientos (TTP).
Una de esas TTPs que favorece tr01 es añadir enlaces a documentos maliciosos incluidos en cadenas de respuesta robadas, señaló TheAnalyst. El actor de la amenaza es conocido por entregar «una multitud de malware», dijeron, como QakBot, Gozi, IcedID, Cobalt Strike y potencialmente más.
El viejo truco de los archivos adjuntos de Excel «Ábreme».
Los correos electrónicos maliciosos llevaban enlaces (aayomsolutions[.]co[.]in/etiste/quasnam[]-4966787 y aparnashealthfoundation[.]aayom.com/quasisuscipit/totamet[-]4966787) que dejaban caer un archivo .ZIP que contenía una hoja de Microsoft Excel maliciosa que descargaba y ejecutaba una DLL maliciosa relacionada con el troyano bancario Qbot.
Lo que es particularmente notable, dijo Trend Micro, es que se utilizaron nombres de cuentas reales del dominio de la víctima como remitente y destinatario, «lo que aumenta la posibilidad de que un destinatario haga clic en el enlace y abra las hojas de cálculo maliciosas de Microsoft Excel», según el informe.
Como se muestra a continuación, el archivo adjunto de Excel hace lo mismo que los documentos de Excel maliciosos: pide a los destinatarios que elijan «Habilitar contenido» para ver un archivo protegido.
Trend Micro ofreció el siguiente gráfico, que muestra la cadena de infección del archivo Excel.
Los Cuentos de la Bolsa
Los investigadores creen que los actores se dirigen a los usuarios que dependen de los servidores de Microsoft Exchange que aún no han sido parcheados para las famosas vulnerabilidades ProxyLogon y ProxyShell.
Trend Micro encontró pruebas en los registros de IIS de tres servidores Exchange comprometidos, cada uno de ellos en una intrusión separada, todos ellos explotados a través de las vulnerabilidades CVE-2021-26855, CVE-2021-34473 y CVE-2021-34523 – los mismos CVEs utilizados en las intrusiones ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473 y CVE-2021-34523), según Trend Micro.
El registro de IIS también mostró que el actor de la amenaza está utilizando un exploit disponible públicamente en su ataque. «Este exploit permite a un actor de la amenaza obtener el SID y los correos electrónicos de los usuarios», explicaron los investigadores. «Incluso pueden buscar y descargar los correos electrónicos de un objetivo».
Los investigadores compartieron pruebas de los registros de IIS, replicados a continuación, que muestran el código del exploit.
Microsoft corrigió las vulnerabilidades de ProxyLogon en marzo y las de ProxyShell en mayo. Quienes hayan aplicado las actualizaciones de mayo o julio están protegidos contra todas ellas. Microsoft ha reiterado que quienes hayan aplicado el parche de ProxyLogon publicado en marzo no están protegidos contra las vulnerabilidades de ProxyShell y deben instalar las actualizaciones de seguridad más recientes.
Cómo defenderse de los ataques ProxyLogon/ProxyShell
La explotación de ProxyLogon y ProxyShell permitió a los atacantes eludir los controles de los correos electrónicos maliciosos, lo que «pone de manifiesto que los usuarios desempeñan un papel importante en el éxito o el fracaso de un ataque», observó Trend Micro. Estas campañas «deberían hacer que los usuarios desconfíen de las diferentes tácticas utilizadas para enmascarar correos electrónicos y archivos maliciosos», escribieron los investigadores.
En otras palabras, el hecho de que el correo electrónico provenga de un contacto de confianza no garantiza que cualquier archivo adjunto o enlace que contenga sea de fiar, señalaron.
Por supuesto, la aplicación de parches es la principal manera de mantenerse a salvo, pero Trend Micro dio estos consejos adicionales si eso no es posible:
- Habilitar módulos de parcheo virtual en todos los servidores Exchange para proporcionar una protección de nivel crítico a los servidores que aún no han sido parcheados para estas vulnerabilidades.
- Utilizar soluciones de detección y respuesta de puntos finales (EDR) en los servidores críticos, ya que proporciona visibilidad a las partes internas de las máquinas y detecta cualquier comportamiento sospechoso que se ejecute en los servidores.
- Utilice un diseño de protección de puntos finales para los servidores.
- Aplique la tecnología sandbox en el correo electrónico, la red y la web para detectar URLs y muestras similares.