Viele Malware-Angriffe werden nach wie vor über Phishing-Mails gestartet. Unter anderem mit der Förderung des Bewusstseins für diese Gefahr und dem Training von Mitarbeitern wird versucht, dem entgegenzuwirken. Nun zeigt
ein Bericht von Trend Micro (
via "Bleepingcomputer"), dass die klaffenden Sicherheitslücken in Exchange, die im Frühjahr 2021 entdeckt wurden ("Swiss IT Magazine"
berichtete), nach wie vor ausgenutzt werden und die Angreifer immer raffinierter versuchen, die User auszutricksen. Im nun vom Sicherheitsspezialisten entdeckten Angriff wurden die Phishing-Mails der Angreifer von den Exchange-Servern der Opfer aus verschickt, um möglichst vertrauenswürdig zu wirken. Weiter waren die eingeschleusten Nachrichten gar als Antworten in einer Reply-Chain-E-Mail, sprich innerhalb eines bestehenden Gesprächsverlaufs, zu finden. Darin finden sich, wie üblich, dann Office-Files mit kompromittierenden Makros, die gestartet werden, wenn die Bearbeitung des Files aktiviert wird. Im Anschluss wird Malware auf dem Zielgerät installiert, darunter Qbot, IcedID, Cobalt Strike, and Squirrelwaffle. Die Angreifer nutzten dafür die Lücken Proxyshell und Proxylogon.
Durch die Tatsache, dass die Mails innerhalb der Organisation abgeschickt wurden, werden diese von automatisierten Systemen schlechter erkannt und als vertrauenswürdig eingestuft. Unternehmen mit Exchange-Servern sind dringend dazu angehalten, die zur Verfügung stehenden Patches von
Microsoft einzuspielen, die seit März respektive April 2021 zur Verfügung stehen. Derweil sollten Mitarbeiter nochmal etwas vorsichtiger sein, wenn verdächtige Anhänge auftauchen – selbst wenn dies innerhalb bestehender Mail-Konversationen geschieht.
(win)
