Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している

Microsoft Exchange servers hacked in internal reply-chain attacks

2021/11/20 BleepingComputer — ProxyShell や ProxyLogon を利用する脅威アクターたちが、Microsoft Exchange サーバーのハッキング/マルウェアの配布/社内の返信用電子メールの侵害/検知の回避などを継続している。悪意の電子メール・キャンペーンを行う場合、脅威アクターたちにとって最も難しいのは、ユーザーが送信者を十分に信頼するように仕向け、不正なリンクや不正プログラムを開くように仕向けることだ。

Trend Micro の研究者たちは、被害者の Microsoft Exchange Server を悪用して、企業内部のユーザーに不正メールを配信するという、興味深い新たな手口を発見した。この攻撃の背後には、Qbot/IcedID/Cobalt Strike/SquirrelWaffle などのマルウェアをドロップするための、不正な添付ファイル付きのメールを配布する、既知の脅威アクター TR がいると考えられます。

標的とする企業を騙して、悪意の添付ファイルを開かせる方法として、この脅威アクターは、Microsoft Exchange に存在する、ProxyShell および ProxyLogon の脆弱性を悪用する。そして、侵害した一連の Exchange サーバーを利用して、企業の社内メールに返信することで、悪意の文書へのリンクを含むリプライ・チェーン攻撃を行い、様々なマルウェアをインストールする。

Trend Micro のレポートでは、「同じ侵入経路から受信した、不正メールのメール・ヘッダを分析したところ、メール・パスは内部 (3台の内部 Exchange サーバーのメールボックス間) であると判明し、外部の送信者/オープン・メール・リレー/メッセージ転送エージェント (MTA) から発信されたものではないと分かった」と説明されている。

これらのメールは、同じ社内ネットワークから発信されており、2人の社員間で以前に行われた議論の続きのように見えるため、そのメールが正当で安全なものであるという信頼度の向上につながる。これは、受信者である人間に対して効果的であるだけでなく、ターゲット企業で使用されているメール保護システムの、アラームを出さないという点でも優れている。

これらのメールで送られてくる添付ファイルは、悪意のものとされる Microsoft Excel のテンプレートだが、そのファイルを閲覧するための、Enable Content を操作するよう受信者を促す。そして、ユーザーがコンテンツを有効にすると、悪意のマクロが実行され、Qbot/Cobalt Strike/SquirrelWaffle などの、添付ファイルで配布されるマルウェアがダウンロードされ、インストールされる。

Trend Micro のレポートによると、これらの攻撃が SquirrelWaffle ローダーを配布し、それが Qbot をインストールすることが確認されたという。しかし、Cryptolaemus の研究者である TheAnalyst は、この脅威アクターが使用した悪意の文書は、SquirrelWaffle が Qbot を配布するのではなく、両方の不正プログラムを個別のペイロードとしてドロップすると述べている。

Exchange サーバーを更新する

Microsoft は、3月に ProxyLogon の脆弱性を、4月と5月に ProxyShell の脆弱性を修正し、その際にゼロデイとして対処した。これらの脆弱性を悪用して、ランサムウェアの配布や、バックドアにアクセスする Web シェルのインストールなどの攻撃が行われてきた。ProxyLogon による攻撃があまりにも酷かったことで、FBI は、米国で感染した Microsoft Exchange サーバーから、その所有者に事前に通知することなく、Web シェルを削除した。これらの脆弱性が広く報道されるようになったことで、Exchange サーバーにパッチを当てないことは、ハッカーを招き入れることにつながる。

いろんな攻撃の手段があるものだと思い、リプライ・チェーン攻撃で検索してみたら、Sentinel というエンドポイント・ソリューションの会社の日本語ブログ記事がありました。きっと、BEC (Business Email Compromise) を構成する要素としても利用されるのだろうと思います。それにしても、Exchange への攻撃は、常に活発ですね。よろしければ、Exchange で検索してみてください。

%d bloggers like this: