به گزارش کارگروه امنیت سایبربان؛ محققین امنیتی ترند میکرو هشدار دادند مهاجمین با هدف ارسال ایمیل های فیشینگی آلوده به بدافزار در سازمان ها در حال سوءاستفاده از نقص های امنیتی چندین ماهه سرور مایکروسافت اکسچنج هستند.
در این کمپین آسیب پذیری های ProxyLogon و ProxyShell مورد بهره برداری قرار می گیرد. این آسیب پذیری ها به ترتیب در ماه های می و مارس اصلاح شده بودند.
مهاجمین با انجام این کار خواهند توانست سرور اکسچنج درون سازمانی قربانی را در معرض خطر قرار دهند و سپس ایمیل های فیشینگی را به دیگر صندوق های دریافتی در همان سازمان ارسال می کنند.
از آن جایی که نام واقعی حساب دامین های قربانی در کمپین مورد استفاده قرار می گیرد، احتمال باز کردن ایمیل از سوی دریافت کننده بیش تر خواهد بود.
در این روش احتمال شناسایی و توقف حمله حداقل ممکن خواهد بود.
این ایمیل های فیشینگ از فایل های ضمیمه اکسل و وردی استفاده می کنند که دارای ماکروهای مخرب هستند. این ماکروها اقدام به اجرای یک اسکریپت مخرب و دانلود یک بارگذاری کننده DLL می کنند که در نهایت به یک سرور کنترل و فرمان متصل می شوند. پی لود نهایی کوبالت استرایک یا در پشتی Qbot خواهد بود.
از سازمان ها خواسته شده تا هر چه سریع تر باگ های پراکسی لوگون و پراکسی شل را اصلاح کنند.
