BleepingComputer11月26日消息,全球知名家居零售商——宜家家居遭遇连续网络攻击。攻击者使用窃取的回复链电子邮件对宜家员工进行内部网络钓鱼攻击。回复链电子邮件攻击是指攻击者窃取合法的公司电子邮件,然后使用嵌入恶意文件的链接回复公司内部电子邮件。由于发件人来自公司内部,收件人会毫无戒心地打开恶意文件,从而在收件人的设备上安装恶意软件。BleepingComputer观察到,宜家已发送内部邮件,提醒员工警惕钓鱼邮件攻击。同时提到:“目前正在发生针对宜家邮箱的网络攻击,其他宜家机构、供应商和商业伙伴也遭到了同样的攻击,并进一步向宜家内部人士传播恶意邮件。”(发送给宜家员工的内部电子邮件)“这意味着带有恶意文件的网络钓鱼电子邮件可能来自您的同事,或来自任何外部组织,在正常的电子邮件交换中,回复形式会发送到您的邮箱,因此很难检测辨别,请大家格外小心。”宜家IT团队警告员工,回复链钓鱼电子邮件包含一个末尾带有7位数字的链接,并提供了电子邮件示例。要求员工无论是谁发的,都不要打开此类邮件,发现后立即向IT部门报告,并通过MicrosoftTeams聊天、电话等不同渠道联系发件人,核实所发邮件的真实性。(发送给宜家员工的钓鱼邮件示例)攻击者近期开始利用ProxyShell和ProxyLogin漏洞攻击MicrosoftExchange内部服务器进行钓鱼攻击。一旦他们获得了对服务器的访问权限,他们就使用内部MicrosoftExchange服务器使用窃取的电子邮件对公司员工进行回复链攻击。“我们的电子邮件过滤器可以识别恶意电子邮件并将其隔离。由于电子邮件可能是对正在进行的对话的回复,因此很容易假设电子邮件过滤器犯了错误并将电子邮件从隔离区释放。因此,在另行通知之前,我们将禁止所有人发布隔离区的电子邮件,”宜家告知员工。钓鱼邮件可用于传播Emotet或Qbot木马并部署勒索软件BleepingComputer通过上述钓鱼邮件中共享的url将其识别为对宜家的攻击。当访问这些URL时,浏览器被重定向到名为“charts.zip”的下载文件,其中包含恶意Excel文档。附件提示收件人点击“启用内容”或“启用编辑”按钮即可正常查看,如下图。(用于网络钓鱼活动的excel附件)一旦单击按钮,就会执行恶意宏,从远程站点下载名为“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件,并将它们保存到C:\Datop文件夹。这些OCX文件被重命名为DLL,并使用regsvr32.exe执行命令来安装恶意软件。此前,根据VirusTotal提交的样本分析,业界已经出现过以类似方式安装Emotet和Qbot木马的钓鱼邮件攻击事件。Qbot和Emotet木马都将导致进一步的网络入侵,并最终在受感染的网络上部署勒索软件。考虑到此类攻击的严重性以及被攻破的MicrosoftExchange服务器可能造成的危害,宜家已将此事件视为一次重大网络攻击,预计会造成更大的破坏性影响。
