위협 행위자는 ProxyShell 및 ProxyLogon 익스플로잇을 사용하여 Microsoft Exchange 서버를 해킹하여 악성코드를 배포하고 도난당한 내부 응답 체인 이메일을 사용하여 탐지를 우회한다.
위협 행위자가 악성 이메일 캠페인을 수행할 때, 가장 어려운 부분은 사용자가 악성 프로그램 배포 첨부 파일에 연결되거나 포함된 파일을 열 수 있도록 사용자가 보낸 사람을 충분히 신뢰하도록 속이는 것이다.
TrendMicro 연구원들은 피해자의 손상된 Microsoft Exchange 서버를 사용하여 회사 내부 사용자에게 악성 이메일을 배포하는 흥미로운 전략을 발견했다.
이 공격의 배후에는 Qbot, IcedID, Cobalt Strike 및 SquirrelWaffle 페이로드 등 악성코드를 유포하는 악성 첨부 파일이 포함된 이메일을 배포하는 알려진 위협 행위자인 'TR'이 있는 것으로 추정된다.
기업 대상을 속여 악성 첨부 파일을 열도록 하는 방법으로 위협 행위자는 ProxyShell 및 ProxyLogon 취약점을 사용하여 Microsoft Exchange 서버를 공격한다.
그런 다음 위협 행위자는 이러한 손상된 Exchange 서버를 사용하여 다양한 멀웨어를 설치하는 악성 문서에 대한 링크가 포함된 응답 체인 공격에서 회사 내부 이메일에 회신한다.
Trend Micro 보고서는 "같은 침입으로 수신된 악성 이메일에 대한 이메일 헤더를 분석했으며 메일 경로가 내부(내부 교환 서버 3대의 우편함 사이)로, 이메일이 외부 발신인, 공개 메일 릴레이 또는 메시지 전송 에이전트(MTA)에서 유래되지 않았음을 표시했다"고 설명했다.
[그림 1. Squaretwaffle이 대상으로 보낸 이메일 중 하나]
이러한 이메일은 동일한 내부 네트워크에서 시작되고 두 직원 간의 이전 논의의 연속인 것처럼 보이기 때문에 이메일이 합법적이고 안전하다는 더 큰 신뢰로 이어진다.
이는 인간 수신자에게 효과적일 뿐만 아니라 대상 기업에서 사용하는 이메일 보호 시스템에 경보를 울리지 않는 데에도 탁월하다.
이러한 이메일로 제공되거나 연결된 첨부 파일은 수신자에게 보호된 파일을 보기 위해 '콘텐츠 활성화'를 지시하는 표준 악성 Microsoft Excel 템플릿이다.
[그림 2. SquaretWaplle에서 사용하는 악의적인 Microsoft Excel 문서]
그러나 사용자가 콘텐츠를 활성화하면 악성 매크로가 실행되어 Qbot, Cobalt Strike, SquaretWaplle 또는 다른 악성코드와 같은 첨부파일에 의해 배포된 악성코드를 다운로드하여 설치한다.
Trend Micro의 보고서에 따르면 연구원들은 이러한 공격이 SquirrelWaffle 로더를 배포한 다음 Qbot을 설치하는 것을 보았다고 말했다.
그러나 Cryptolaemus 연구원 'TheAnalyst'에 따르면 이 위협자가 사용한 악성 문서는 Qbot을 배포하는 SquirrelWaffle이 아닌 개별 페이로드로 두 악성코드를 모두 배포한다고 말한다.
Microsoft는 3월에 ProxyLogon 취약점을 수정하고, 4월과 5월에 ProxyShell 취약점을 수정하여 당시 제로 데이(zero-day)로 해결했다.
위협 행위자들은 두 가지 취약성을 악용하여 랜섬웨어를 배포하거나 나중에 백도어 접속을 위해 웹쉘을 설치하였고, ProxyLogon 공격이 매우 악화되어 FBI는 서버 소유주에게 먼저 알리지 않고 손상된 미국 Microsoft Exchange 서버에서 웹쉘을 제거했다.
이 모든 시간과 이러한 취약점이 널리 알려진 매체가 있지만 Exchange Server를 패치하지 않는 것은 해커에 대한 공개적인 초대에 불과하다.
출처
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-hacked-in-internal-reply-chain-attacks/
