Exchange serverに来るSquirrelwaffle
Squirrelwaffleはマルウェアローダーです。
スパムキャンペーンで悪意のあるオフィスドキュメントとして添付ファイルの形式で配布されます。
こんな感じです。
- メールの添付ファイルとしてSquirrelwaffleが被害者にメールで送られてくる
- 被害者がメールを開き、添付ファイルを開く
- 被害者がマクロ実行を許可する
- VisualBasic Scriptが動作する
- VisualBasic ScriptはCobalt Strike Beaconsをダウンロードして実行し、活動を開始する
- Squirrelwaffleはメールのスレッドを外部に取り出す
- 攻撃者は外部に取り出したメールのスレッドを解釈し、typo-squattedなドメインで返信者に成りすまし返信する
typo-squattedなドメインとは、タイプミスのような類似性の高いドメインのことです。 - 攻撃者は返信者に成りすますだけでなく、Ccの宛先となる他の受信者もtypo-squattedなドメインで準備して送信先に加える
これによってリアルさが増します。 - 成りすまして返信するスレッドは支払いに関連するものを選択する
もちろん送金先は攻撃者の口座に変更されています。 - 活動の中でSquirrelwaffleはProxyLogonやProxyShellと組み合わせて悪用される
被害者の環境での拡散にこれらの脆弱性が悪用されます。
ある事例では、攻撃者からの支払いの催促のメールが6日間も連続し、メールが来るたびに催促のトーンが上がっていったというものもありました。
サイバー攻撃とか関係なく、これは怖いです。
この事例では被害者は支払いの処理を実施したのですが、取引に関与した金融機関の一つが取引の不正というフラグをたてたため送金には至りませんでした。
ツールを仕掛けてあとは自動で待つだけのようなスタイルの攻撃もありますが、この攻撃では人が実施している部分が少なからずありそうです。
ProxyLogonやProxyShellと組み合わせて拡散されますので、こういった脆弱性に対策すればそれ以上の拡散については食い止めることができるでしょう。
しかし、すでにその時点でメールのスレッドは持ち出されていますのでその悪用を止めることは難しいでしょう。
さらに、脆弱性を悪用してWebシェルを設置されているなどの派生の問題も残されているかもしれません。
ツールでの防御も重要ですが、こういった脅威を考えるとそれだけでは対応できないケースもありそうです。
システムを使う人間の落ち着いた行動が重要なのかもしれません。
「敵を知り、己を知れば、百戦して殆(あや)うからず」ということかもしれません。
参考記事(外部リンク):Vulnerable Exchange server hit by Squirrelwaffle and
financial fraud
news.sophos.com/en-us/2022/02/15/vulnerable-exchange-server-hit-by-squirrelwaffle-and-financial-fraud/
