[[437387]]

11月26日BleepingComputer消息，全球知名家居零售商——宜家，正在經(jīng)歷一場持續(xù)的網(wǎng)絡(luò)攻擊戰(zhàn)。攻擊者利用竊取來的回復(fù)鏈電子郵件，對宜家員工實施內(nèi)部釣魚攻擊。

回復(fù)鏈電子郵件攻擊是指攻擊者竊取合法的公司電子郵件，然后用嵌入惡意文件的鏈接回復(fù)公司內(nèi)部郵件。因為發(fā)件人來自公司內(nèi)部，收件人將毫無防備地打開惡意文件，而這些惡意文件將會在收件人的設(shè)備上安裝惡意軟件。

BleepingComputer觀察到，宜家已經(jīng)發(fā)送內(nèi)部郵件提醒員工警惕釣魚郵件攻擊，同時提到：“目前正在發(fā)生針對宜家郵箱的網(wǎng)絡(luò)攻擊。其他宜家機(jī)構(gòu)、供應(yīng)商和商業(yè)合作伙伴也受到了同樣的攻擊，并進(jìn)一步向宜家內(nèi)部人員傳播惡意郵件。”

(發(fā)送給宜家員工的內(nèi)部郵件)

“這意味著，帶有惡意文件的釣魚郵件可能來自你的同事，也可能來自任何外部組織，并以正常進(jìn)行的往來郵件回復(fù)形式發(fā)送到你的郵箱，因此很難察覺和判別，我們要求你格外小心。”

宜家IT團(tuán)隊警告員工稱，回復(fù)鏈釣魚郵件中包含末尾有7位數(shù)字的鏈接，并提供了郵件示例。要求員工不要打開此類電子郵件，不管這些郵件是誰發(fā)送的，一有發(fā)現(xiàn)立即報告給IT部門，并且通過Microsoft Teams 聊天、電話等不同渠道聯(lián)系發(fā)件人，核實發(fā)送電子郵件的真實性。

(發(fā)送給宜家員工的釣魚郵件示例)

攻擊者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內(nèi)部服務(wù)器，以實施釣魚攻擊活動。

一旦獲得服務(wù)器訪問權(quán)限，他們就會使用內(nèi)部的Microsoft Exchange服務(wù)器，對使用被竊電子郵件的公司員工進(jìn)行回復(fù)鏈攻擊。

“我們的電子郵件過濾器可以識別出惡意電子郵件并將其隔離。由于電子郵件可能是對正在進(jìn)行的對話的回復(fù)，因此很容易認(rèn)為電子郵件過濾器犯了錯誤并將電子郵件從隔離中釋放。因此，在進(jìn)一步通知之前，我們將禁止所有人從隔離區(qū)釋放電子郵件。”宜家向員工通報。

釣魚郵件可被用于傳播Emotet或Qbot木馬，并部署勒索軟件

BleepingComputer通過上述網(wǎng)絡(luò)釣魚郵件中共享的url，識別出這是一起針對宜家的攻擊。當(dāng)訪問這些url時，瀏覽器將被重定向到一個名為“charts.zip”的下載文件，其中包含一個惡意的Excel文檔。該附件提示收件人單擊“啟用內(nèi)容”或“啟用編輯”按鈕以正確地查看它，如下所示。

(釣魚活動中使用的excel附件)

一旦點擊這些按鈕，就會執(zhí)行惡意宏，從遠(yuǎn)程站點下載名為“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件，并將它們保存到 C:\Datop 文件夾中。這些 OCX 文件被重命名為 DLL，并使用 regsvr32.exe 執(zhí)行命令以安裝惡意軟件。

此前，根據(jù)VirusTotal提交的樣本分析，業(yè)界已經(jīng)有類似方式安裝Emotet和Qbot木馬的釣魚郵件攻擊。Qbot和Emotet木馬都將導(dǎo)致進(jìn)一步的網(wǎng)絡(luò)入侵，并最終在失陷的網(wǎng)絡(luò)上部署勒索軟件。

考慮到此類攻擊的嚴(yán)重程度以及Microsoft Exchange服務(wù)器被入侵的可能危害，宜家已將這次事件視為一次重大的網(wǎng)絡(luò)攻擊，估計將會帶來更具破壞性的影響。