مهاجمها از آسیبپذیریهای ProxyLogon و ProxyShell در سرورهای Microsoft Exchange وصلهنشده به عنوان بخشی از یک کمپین اسپم استفاده میکنند که از ایمیلهای دزدیده شده برای دور زدن نرمافزارهای امنیتی و استقرار بدافزار در سیستمهای آسیبپذیر استفاده میکند.
یافتهها توسط Trend Micro به دنبال تحقیقاتی در مورد تعدادی از نفوذها در خاورمیانه به دست آمده است که به توزیع لودری که قبلاً دیده نشده بود با نام SQUIRRELWAFFLE به اوج خود رسید.
این مسئله اولین بار توسط Cisco Talos به صورت عمومی منتشر و مستند شد، گمان میرود این حملات در اواسط سپتامبر 2021 از طریق اسناد آفیس مایکروسافت آغاز شدهاند.
ProxyLogon و ProxyShell به مجموعهای از نقصها در سرورهای Microsoft Exchange اشاره میکنند که میتواند یک مهاجم را قادر سازد تا امتیازات دسترسی خود را افزایش دهد و از راه دور کد دلخواه خود را اجرا کند و کنترل ماشینهای آسیبپذیر را بدست آورد.
نقصهای ProxyLogon در ماه مارس و باگهای ProxyShell در یک سری بهروزرسانیهای منتشر شده در ماه می و جولای اصلاح شدند.
یافتهها توسط Trend Micro به دنبال تحقیقاتی در مورد تعدادی از نفوذها در خاورمیانه به دست آمده است که به توزیع لودری که قبلاً دیده نشده بود با نام SQUIRRELWAFFLE به اوج خود رسید.
این مسئله اولین بار توسط Cisco Talos به صورت عمومی منتشر و مستند شد، گمان میرود این حملات در اواسط سپتامبر 2021 از طریق اسناد آفیس مایکروسافت آغاز شدهاند.
ProxyLogon و ProxyShell به مجموعهای از نقصها در سرورهای Microsoft Exchange اشاره میکنند که میتواند یک مهاجم را قادر سازد تا امتیازات دسترسی خود را افزایش دهد و از راه دور کد دلخواه خود را اجرا کند و کنترل ماشینهای آسیبپذیر را بدست آورد.
نقصهای ProxyLogon در ماه مارس و باگهای ProxyShell در یک سری بهروزرسانیهای منتشر شده در ماه می و جولای اصلاح شدند.
Trend Micro گفت که استفاده از اکسپلویتهای عمومی برای CVE-2021-26855 (ProxyLogon)، CVE-2021-34473 و CVE-2021-34523 (ProxyShell) را در سه سرور Exchange مشاهده کرده است.
زنجیره حمله شامل ایمیلهایی حاوی یک لینک است که با کلیک روی آن، یک فایل Microsoft Excel یا Word باز میشود.
باز کردن سند گیرنده را وادار میکند تا ماکروها را فعال کند، که در نهایت منجر به دانلود و اجرای لودر بدافزار SQUIRRELWAFFLE میشود، که به عنوان عاملی برای دریافت پیلودهای مرحله نهایی مانند Cobalt Strike و Qbot عمل میکند.
زنجیره حمله شامل ایمیلهایی حاوی یک لینک است که با کلیک روی آن، یک فایل Microsoft Excel یا Word باز میشود.
باز کردن سند گیرنده را وادار میکند تا ماکروها را فعال کند، که در نهایت منجر به دانلود و اجرای لودر بدافزار SQUIRRELWAFFLE میشود، که به عنوان عاملی برای دریافت پیلودهای مرحله نهایی مانند Cobalt Strike و Qbot عمل میکند.