Ataques basados en ProxyLogon y ProxyShell cada vez más activos en las campañas de SPAM

El Equipo de investigadores de Trend Micro, han realizado un análisis sobre una serie de intrusiones en Oriente Medio que culminaron con la distribución de un cargador (“loader”) nunca antes visto apodado SQUIRRELWAFFLE. Documentado por primera vez por Cisco Talos, se cree que los ataques comenzaron a mediados de septiembre de 2021 a través de documentos de Microsoft Office adulterados.

ProxyLogon y ProxyShell hacen referencia a un conjunto de fallos en los servidores Microsoft Exchange que podrían permitir a un atacante elevar privilegios y ejecutar código arbitrario de forma remota, lo que le permitiría tomar el control de las máquinas vulnerables. Mientras que los fallos de ProxyLogon se solucionaron en marzo, los de ProxyShell se parchearon en una serie de actualizaciones publicadas en mayo y julio.

Vulnerabilidades de Microsoft Exchange

Durante los análisis realizados se han obtenido evidencias de los exploits de las vulnerabilidades CVE-2021-26855, CVE-2021-34473 y CVE-2021-34523 en los registros de IIS en los servidores Exchange que fueron comprometidos en diferentes intrusiones. Los mismos CVE se utilizaron en las intrusiones ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473 y CVE-2021-34523). Microsoft publicó un parche para ProxyLogon en marzo; quienes hayan aplicado las actualizaciones de mayo o julio están protegidos contra las vulnerabilidades de ProxyShell.

Correo malicioso (SPAM)

La cadena de ataque consiste en mensajes de correo electrónico fraudulentos que contienen un enlace que, al hacer clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, el destinatario habilita las macros, lo que en última instancia conduce a la descarga y ejecución del cargador («loader») de malware SQUIRRELWAFFLE, que actúa como medio para obtener las cargas útiles de la fase final, como Cobalt Strike y Qbot.

Fuente: Trend Micro

En las intrusiones analizadas se detectaron que las cabeceras de los correos electrónicos maliciosos recibidos tenían origen en rutas de correo internas (servidores de correo internos), lo que indica que los correos electrónicos no procedían de un remitente externo, ni de ningún agente de mensajes o pasarela (MTA).

Esta técnica de entrega del correo malicioso, aumenta considerablemente el éxito de que un correo llegue a todos los usuarios del dominio corporativo, disminuyendo la posibilidad de detectar o detener el ataque, ya que las pasarelas de correo no podrán filtrar o poner en cuarentena ninguno de estos correos internos. 

El empleo de esta técnica marca un antes y un después en las campañas de phishing en las que un atacante ha vulnerado los servidores corporativos de correo electrónico de Microsoft Exchange para obtener acceso no autorizado a los sistemas de correo interno y distribuir correos electrónicos maliciosos en un intento de infectar a los usuarios corporativos con malware.

Las campañas de SQUIRRELWAFFLE deberían hacer que los usuarios desconfíen de las diferentes tácticas utilizadas para enmascarar los correos electrónicos y archivos maliciosos. Los correos electrónicos que provienen de contactos de confianza, pueden no ser lo suficientemente seguros y hay que implementar medidas de protección, y desconfiar de los enlaces y archivos adjuntos.

Referencias:

SQUIRRELWAFFLE: https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html
Trend Micro: https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html
CVE-2021-26855: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855
CVE-2021-34473: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473
CVE-2021-34523: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523

La entrada Ataques basados en ProxyLogon y ProxyShell cada vez más activos en las campañas de SPAM se publicó primero en Una al Día.