微软 Exchange 服务器被滥用于内部邮件回复链攻击

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

威胁行动者发动恶意邮件活动时，最难的一步在于诱骗用户对发送者足够信任，能够打开含有恶意软件的链接或邮件附件。

趋势科技公司的研究员发现威胁行动者使用了新技术，使用受害者的受陷微软 Exchange 服务器向公司的内部用户发送恶意邮件。攻击者被指为 “TR”，被指分发释放恶意软件（包括 Qbot、IcedID、Cobalt Strike 和 SquirrelWaffle payload 在内）的恶意附件。为了诱骗企业目标打开恶意附件，威胁行动者利用具有 ProxyShell 和 ProxyLogon 漏洞的微软 Exchange 服务器。之后使用这些被攻陷的Exchange 服务器回复企业的内部邮件，发动回复链攻击，其中包含安装多种恶意软件的恶意文档链接。

研究人员解释称，“在同一起入侵活动中，我们分析了所接收到的恶意邮件的邮件表头，邮件路径是内部的（三个exchange 服务器邮箱之间）说明邮件并非来自外部发送者、开放的邮件中继或任何信息传输代理 (MTA)。“

由于这些邮件源自相同的内部网络并且看似是两名员工之前讨论的后续，因此受害者认为邮件是合法安全的并增加了其信任度。这不仅对于人类收件人是奏效的，而且并未引发目标企业邮件防护系统的任何警报。但所含附件或邮件链接时标准的恶意微软 Excel 模板，要求收件人”启用内容“才能查看受保护文件。

然而，一旦用户启用内容，恶意宏就被下载并安装该附件分发的恶意软件。

研究人员表示他们发现攻击者分发了 SquirrelWaffle 加载器，之后安装了 Qbot。然而，Cryptolaemus 公司的研究员“TheAnalyst” 表示威胁行动者使用的恶意文件会将恶意软件释放为单独的payload，而不是分发 Qbot 的 SquirrelWaffle。

微软已分别在三月和四五月修复了当时还是0day 漏洞的 ProxyLogon 和 ProxyShell 漏洞。

威胁行动者滥用这些漏洞部署勒索软件或安装webshell 方面后续访问。ProxyLogon 攻击非常严重，甚至使 FBI 不得不在未事先通知服务器所有人的情况下就删除了位于美国的受陷的 Exchange 服务器的 web shell。

发生了如此多的相关攻击以及媒体的大量报道，如仍然未修复 Exchange 服务器漏洞，那无异于“引狼入室”。