黑客利用垃圾邮件活动中的ProxyLogon和ProxyShell漏洞

威胁参与者正在利用未修补的Microsoft Exchange服务器上的ProxyLogon和ProxyShell漏洞进行攻击，这是正在进行的垃圾邮件活动的一部分，该活动利用被盗的电子邮件链绕过安全软件，在易受攻击的系统上部署恶意软件。

这项发现来自于TrimeMicro，随后对中东的一些入侵事件进行了调查，这一事件最终出现在一个从未见过的装载者被称为SurrRuffFALE的分布上。最初由思科塔洛斯公开记录，这些攻击被认为是在2021年9月中旬通过微软的办公室文件开始的。

研究人员穆罕默德·法赫米（Mohamed Fahmy）、谢里夫·马格迪（Sherif Magdy）、阿卜杜勒曼·沙沙尔（Abdelrhman Sharshar）在上周发布的一份报告中说：“它以发送恶意电子邮件作为对现有电子邮件链的回复而闻名，这种策略降低了受害者对恶意活动的警惕。”。“为了实现这一目标，我们相信这涉及到ProxyLogon和ProxyShell的一系列利用。”

ProxyLogon和ProxyShell指的是Microsoft Exchange服务器中的一系列缺陷，这些缺陷可使威胁参与者提升权限并远程执行任意代码，从而有效地授予控制易受攻击机器的能力。虽然ProxyLogon的缺陷在3月份得到了解决，但ProxyShell的缺陷在5月和7月发布的一系列更新中得到了修补。

DLL感染流

Trend Micro表示，它观察到在三台Exchange服务器上使用了针对CVE-2021-26855（ProxyLogon）、CVE-2021-34473和CVE-2021-34523（ProxyShell）的公开攻击，这些服务器在不同的入侵中受到了破坏，它们使用访问权限劫持合法的电子邮件线程，并发送恶意垃圾邮件作为回复，从而增加了毫无戒心的收件人打开电子邮件的可能性。

研究人员说：“使用这种技术向所有内部域用户发送恶意垃圾邮件，将降低检测或阻止攻击的可能性，因为邮件逃逸者将无法过滤或隔离任何这些内部电子邮件。”，在行动背后添加攻击者并没有进行横向移动，也没有安装额外的恶意软件，以便隐藏在雷达之下，避免触发任何警报。

攻击链涉及恶意电子邮件，其中包含一个链接，单击该链接时会删除Microsoft Excel或Word文件。反过来，打开文档会提示收件人启用宏，最终导致下载并执行SquirreWaffle恶意软件加载程序，该加载程序充当获取Cobalt Strike和Qbot等最后阶段有效负载的媒介。

这一事态发展标志着网络钓鱼活动的新升级。在网络钓鱼活动中，一名威胁参与者破坏了公司的Microsoft Exchange电子邮件服务器，获得对其内部邮件系统的未经授权访问，并分发恶意电子邮件，试图用恶意软件感染用户。

研究人员得出结论：“松鼠华夫饼干活动应该让用户警惕用于屏蔽恶意电子邮件和文件的不同策略。”。“来自受信任联系人的电子邮件可能不足以表明电子邮件中包含的任何链接或文件都是安全的。”