Les vulnérabilités de Microsoft Exchange exploitées à des fins de fraude financière
Une combinaison de SquirrelWaffle, ProxyLogon et ProxyShell contre les serveurs Microsoft Exchange est utilisée pour réaliser des fraudes financières par détournement d’e-mails.
Mardi, des chercheurs de Sophos ont révélé un incident récent au cours duquel un serveur Microsoft Exchange, qui n’avait pas été corrigé pour le protéger contre un ensemble de vulnérabilités critiques divulguées l’année dernière, a été ciblé pour détourner des fils de messagerie et diffuser des campagnes malveillantes de spams par courrier électronique (malspam).
Microsoft a publié des correctifs d’urgence le 2 mars 2021 pour résoudre les vulnérabilités de type « zero-day » exploitables pour détourner des serveurs. Le groupe Hafnium exploitait activement les bugs à ce moment-là et d’autres groupes de menaces persistantes avancées (APT) ont rapidement suivi.
Si les vulnérabilités ProxyLogon/ProxyShell sont désormais bien connues, certains serveurs ne sont toujours pas corrigés et restent ouverts aux attaques.
Intervention de SquirrelWaffle
Le cas récent documenté par Sophos combinait les failles du serveur Microsoft Exchange avec SquirrelWaffle, documenté pour la première fois l’année dernière dans des campagnes de spams malveillantes. Le chargeur est souvent distribué par le biais de documents Microsoft Office malveillants ou de contenus DocuSign ajoutés à des e-mails de phishing.
Si la victime visée active les macros dans les documents armés, SquirrelWaffle est alors souvent utilisé pour extraire et exécuter les balises CobaltStrike via un script VBS.
Sophos indique que dans la récente campagne, le chargeur a été déployé une fois que le serveur Microsoft Exchange a été compromis. Le serveur, appartenant à une organisation anonyme, a été utilisé pour « distribuer en masse » SquirrelWaffle à des adresses électroniques internes et externes en détournant des fils de messagerie existants entre les employés.
Le détournement d’e-mails peut prendre plusieurs formes. Les fils de communication peuvent être compromis par le biais de l’ingénierie sociale et de l’usurpation d’identité – par exemple, un attaquant qui se fait passer pour un cadre afin de tromper les services comptables et les amener à approuver une transaction frauduleuse – ou par l’envoi d’e-mails contenant des liens menant à des charges utiles de logiciels malveillants.
Dans ce cas, la campagne de spams a été utilisée pour propager SquirrelWaffle. Mais en plus, les attaquants ont extrait un fil de discussion et utilisé les connaissances internes qu’il contenait pour réaliser une fraude financière.
La technique de typo-squatting
Les données des clients ont été prises et une organisation victime a été sélectionnée. Les attaquants ont enregistré un domaine avec un nom très proche de celui de la victime – une technique connue sous le nom de « typo-squatting » – et ont ensuite créé des comptes de messagerie via ce domaine pour répondre au fil de messagerie en dehors du serveur.
« Pour ajouter une légitimité supplémentaire à la conversation, les attaquants ont copié des adresses e-mail supplémentaires pour donner l’impression qu’ils demandaient l’assistance d’un service interne », explique Sophos. « En fait, les adresses supplémentaires ont également été créées par l’attaquant sous le domaine squatté par la faute de frappe. »
Pendant six jours, les attaquants ont essayé de diriger une transaction financière légitime vers un compte bancaire qu’ils possédaient. Le paiement était en passe d’être traité et ce n’est que parce qu’une banque impliquée dans la transaction a réalisé que le transfert était probablement frauduleux que la victime n’a pas été la proie de l’attaque.
« Ceci nous rappelle que l’application de correctifs ne suffit pas toujours à assurer une protection », a commenté Matthew Everts, chercheur chez Sophos. « Dans le cas de serveurs Exchange vulnérables, par exemple, vous devez également vérifier que les attaquants n’ont pas laissé derrière eux un web shell pour maintenir l’accès. Et lorsqu’il s’agit d’attaques d’ingénierie sociale sophistiquées, telles que celles utilisées dans le détournement de fils de messagerie, l’éducation des employés sur ce qu’il faut rechercher et comment le signaler est essentielle pour la détection. »
Pour plus d’information : https://www.zdnet.fr/actualites/les-vulnerabilites-de-microsoft-exchange-exploitees-a-des-fins-de-fraude-financiere-39937439.htm
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram