مهاجمان سایبری با بهرهبرداری از آسیبپذیری در ProxyShell و ProxyLogon یک کمپین فیشینگ راه انداختند.
منبع : سایبربان
مهاجمان سایبری با بهرهبرداری از آسیبپذیری در ProxyShell و ProxyLogon یک کمپین فیشینگ راه انداختند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان ترندمیکرو مدعی شدند هکرها در حال بهرهبرداری از آسیبپذیریهای ProxyShell و ProxyLogon سرور اکسچنج مایکروسافت در یک کمپین فیشینگ هستند. آنها هشدار دادند مهاجمان با هدف ارسال ایمیلهای فیشینگی آلوده به بدافزار در سازمانها در حال سوءاستفاده از نقصهای امنیتی چندینماهه سرور مایکروسافت اکسچنج هستند.
در این کمپین، آسیبپذیریهای ProxyLogon و ProxyShell مورد بهرهبرداری قرار میگیرد. این آسیبپذیریها بهترتیب در ماههای می و مارس اصلاح شده بودند.
مهاجمان با انجام این کار خواهند توانست سرور اکسچنج درونسازمانی قربانی را در معرض خطر قرار دهند و سپس ایمیلهای فیشینگی را به دیگر صندوقهای دریافتی در همان سازمان ارسال میکنند.
از آنجایی که نام واقعی حساب دامینهای قربانی در کمپین مورد استفاده قرار میگیرد، احتمال باز کردن ایمیل از سوی دریافتکننده بیشتر خواهد بود.
در این روش احتمال شناسایی و توقف حمله حداقل ممکن خواهد بود.
این ایمیلهای فیشینگ از فایلهای ضمیمه اکسل و وردی استفاده میکنند که دارای ماکروهای مخرب هستند. این ماکروها اقدام به اجرای یک اسکریپت مخرب و دانلود یک بارگذاریکننده DLL میکنند که درنهایت به یک سرور کنترل و فرمان متصل میشوند. پیلود نهایی کوبالت استرایک یا درِ پشتی Qbot خواهد بود.
از سازمانها خواسته شده هرچه سریعتر آسیبپذیری در ProxyShell و ProxyLogon را اصلاح کنند.