Exchange serverに来るSquirrelwaffle

ほぼこもセキュリティニュース By Terilogy Worx

Squirrelwaffleはマルウェアローダーです。
スパムキャンペーンで悪意のあるオフィスドキュメントとして添付ファイルの形式で配布されます。
こんな感じです。

  • メールの添付ファイルとしてSquirrelwaffleが被害者にメールで送られてくる
  • 被害者がメールを開き、添付ファイルを開く
  • 被害者がマクロ実行を許可する
  • VisualBasic Scriptが動作する
  • VisualBasic ScriptはCobalt Strike Beaconsをダウンロードして実行し、活動を開始する
  • Squirrelwaffleはメールのスレッドを外部に取り出す
  • 攻撃者は外部に取り出したメールのスレッドを解釈し、typo-squattedなドメインで返信者に成りすまし返信する
    typo-squattedなドメインとは、タイプミスのような類似性の高いドメインのことです。
  • 攻撃者は返信者に成りすますだけでなく、Ccの宛先となる他の受信者もtypo-squattedなドメインで準備して送信先に加える
    これによってリアルさが増します。
  • 成りすまして返信するスレッドは支払いに関連するものを選択する
    もちろん送金先は攻撃者の口座に変更されています。
  • 活動の中でSquirrelwaffleはProxyLogonやProxyShellと組み合わせて悪用される
    被害者の環境での拡散にこれらの脆弱性が悪用されます。

ある事例では、攻撃者からの支払いの催促のメールが6日間も連続し、メールが来るたびに催促のトーンが上がっていったというものもありました。
サイバー攻撃とか関係なく、これは怖いです。
この事例では被害者は支払いの処理を実施したのですが、取引に関与した金融機関の一つが取引の不正というフラグをたてたため送金には至りませんでした。

ツールを仕掛けてあとは自動で待つだけのようなスタイルの攻撃もありますが、この攻撃では人が実施している部分が少なからずありそうです。
ProxyLogonやProxyShellと組み合わせて拡散されますので、こういった脆弱性に対策すればそれ以上の拡散については食い止めることができるでしょう。
しかし、すでにその時点でメールのスレッドは持ち出されていますのでその悪用を止めることは難しいでしょう。
さらに、脆弱性を悪用してWebシェルを設置されているなどの派生の問題も残されているかもしれません。

ツールでの防御も重要ですが、こういった脅威を考えるとそれだけでは対応できないケースもありそうです。
システムを使う人間の落ち着いた行動が重要なのかもしれません。
「敵を知り、己を知れば、百戦して殆(あや)うからず」ということかもしれません。

参考記事(外部リンク):Vulnerable Exchange server hit by Squirrelwaffle and
financial fraud

news.sophos.com/en-us/2022/02/15/vulnerable-exchange-server-hit-by-squirrelwaffle-and-financial-fraud/

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。