Ataques basados en ProxyLogon y ProxyShell cada vez más activos en las campañas de SPAM

Ataques basados en ProxyLogon y ProxyShell cada vez más activos en las campañas de SPAM

El Equipo de investigadores de Trend Micro, han realizado un análisis sobre una serie de intrusiones en Oriente Medio que culminaron con la distribución de un cargador (“loader”) nunca antes visto apodado SQUIRRELWAFFLE. Documentado por primera vez por Cisco Talos, se cree que los ataques comenzaron a mediados de septiembre de 2021 a través de documentos de Microsoft Office adulterados.

https://i1.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/11/ms-exchange-flaw-causes-spike-in-trdownloader-gen-trojans-showcase_image-3-a-16236.jpg?w=860&ssl=1Ataques con proxylogon y proxyshell

ProxyLogon y ProxyShell hacen referencia a un conjunto de fallos en los servidores Microsoft Exchange que podrían permitir a un atacante elevar privilegios y ejecutar código arbitrario de forma remota, lo que le permitiría tomar el control de las máquinas vulnerables. Mientras que los fallos de ProxyLogon se solucionaron en marzo, los de ProxyShell se parchearon en una serie de actualizaciones publicadas en mayo y julio.

Vulnerabilidades de Microsoft Exchange

Durante los análisis realizados se han obtenido evidencias de los exploits de las vulnerabilidades CVE-2021-26855, CVE-2021-34473 y CVE-2021-34523 en los registros de IIS en los servidores Exchange que fueron comprometidos en diferentes intrusiones. Los mismos CVE se utilizaron en las intrusiones ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473 y CVE-2021-34523). Microsoft publicó un parche para ProxyLogon en marzo; quienes hayan aplicado las actualizaciones de mayo o julio están protegidos contra las vulnerabilidades de ProxyShell.

Correo malicioso (SPAM)

La cadena de ataque consiste en mensajes de correo electrónico fraudulentos que contienen un enlace que, al hacer clic, descarga un archivo de Microsoft Excel o Word. Al abrir el documento, el destinatario habilita las macros, lo que en última instancia conduce a la descarga y ejecución del cargador («loader») de malware SQUIRRELWAFFLE, que actúa como medio para obtener las cargas útiles de la fase final, como Cobalt Strike y Qbot.

Imagen

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies