Nu patchen! Gehackte Exchange Server wordt misbruikt als spam-slinger


Spam-e-mails zijn nog steeds de belangrijkste mazen voor Trojaanse paarden om computers te infecteren. Het probleem is dat dergelijke e-mails niet alleen steeds geloofwaardiger worden voor het menselijk oog: met een beetje voorbereidend werk versturen criminelen momenteel dergelijke e-mails binnen bedrijfsnetwerken om filter- en quarantainemechanismen te omzeilen.

Volgens een rapport van beveiligingsonderzoekers van Trend Micro dit gebeurt momenteel op gehackte Exchange-servers. De aanvallers van de Squirrelwaffle-groep die door de onderzoekers zijn geïdentificeerd, gebruiken de ProxyLogon– en ProxyShell-Hiaten in Microsoft Exchange. De waargenomen aanvallen worden momenteel verondersteld het Midden-Oosten te treffen. In hoeverre de aanslagen plaatsvinden is op dit moment niet bekend.

Als de aanvallen slagen, mogen de aanvallers echter geen malware verwijderen en zich vanaf de gehackte server niet verder verspreiden in netwerken (laterale beweging). Met deze strategie willen ze niet dat logboektools verdacht verkeer leveren waar beheerders zich bewust van kunnen worden. In plaats daarvan zouden ze de e-mailtransportserversoftware heimelijk misbruiken voor het intern verzenden van spammail.

Volgens de onderzoekers vergroot de interne uitschakeling de kans dat filters en quarantaineregels die om veiligheidsredenen zijn ingesteld niet werken. Bovendien zien e-mails van een zogenaamd betrouwbaar intern contact er geloofwaardiger uit.

Daarnaast moeten de aanvallers voortbouwen op bestaande projecten in de e-mails om de geloofwaardigheid verder te vergroten. In combinatie met interne verzending kunnen e-mails met gevaarlijke bestandsbijlagen tot het slachtoffer doordringen en ertoe leiden dat ze een Excel-document openen dat is voorbereid met macro’s en zo schadelijke code op de computer brengen.

Om te voorkomen dat interne e-mails via gehackte Exchange-servers worden verzonden, moeten beheerders ervoor zorgen dat hun systemen up-to-date zijn. Beveiligingspatches zijn beschikbaar sinds maart (ProxyLogon) en april 2021 (ProxyShell).

Alleen vorige week gewaarschuwd het noodteam van het Federaal Bureau voor Informatiebeveiliging (BSI) CERT-Bund dat duizenden publiek toegankelijke, potentieel kwetsbare Exchange-servers nog steeds in bedrijf zijn in Duitsland.


(van)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: