Actualités

SquirrelWaffle : quand une campagne de phishing exploite ProxyLogon et ProxyShell !

Depuis la rentrée 2021, bon nombre d’équipes sécuritaires ont observé une fortes réminiscence des exploits ProxyLogon (sous les solutions-serveurs Microsoft Exchange) alors-même que celui-ci et son ensemble de vulnérabilités avait été colmaté. L’équipe TrendMicro alerte : des manquements de mises à jour notamment, ont permis à SquirrelWaffle de gambader au sein des systèmes qui n’ont pas encore appliqué les patchs correctifs…

 

“En Septembre, Squirrelwaffle est apparu comme un nouveau chargeur qui se propage par le biais de campagnes de spam. Il est connu pour envoyer ses e-mails malveillants en réponse à des chaînes d’e-mails préexistantes, une tactique qui abaisse la garde d’une victime contre les activités malveillantes. Pour pouvoir y parvenir, nous pensons que cela impliquait l’utilisation d’une chaîne d’exploits ProxyLogon et ProxyShell […] Il est important de s’assurer que les correctifs pour les vulnérabilités de Microsoft Exchange Server, en particulier ProxyShell et ProxyLogon (CVE-2021-34473, CVE-2021-34523 et CVE-2021-31207) ont déjà été appliqués. Microsoft a réitéré que ceux qui ont appliqué leur correctif pour ProxyLogon en mars ne sont pas protégés contre les vulnérabilités ProxyShell et devraient installer des mises à jour de sécurité plus récentes (Mai ou Juillet)“, est-il indiqué dans le billet sécuritaire de l’éditeur, le 19 Novembre 2021.

 

La campagne de spam s’initie sous la forme d’une réponse à un fil de discussion (en cours ou non, du moment qu’il est créée). Les noms de domaine (des comptes-utilisateurs) ont été exploités pour diffuser au mieux la viralité ce qui permet, après-coup, de rendre plus difficile une détection, post-infection. Les fichiers en PJs renvoient à une archive ZIP qui intègre un tableur (Excel) – des macros – et qui recèle, en réalité, un DLL vérolé et relatif à Qbot… A veiller !

 

 

 

Source : TrendMicro – 19 Novembre 2021 – SquirrelWaffle : exploitation de ProxyLogon et ProxyShell pour une campagne de spam (finalité : Qbot)+ indicateurs de compromission.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6