宜家遭遇钓鱼电子邮件持续攻击

近日,宜家遭遇了持续的钓鱼电子邮件攻击,攻击者使用回复电子邮件的方式在宜家内部网络钓鱼攻击其员工。

所谓“回复链电子邮件攻击”是指攻击者先设法入侵公司电子邮件,然后从受感染的电子邮件账户或内部邮件服务器发送回复,并在邮件回复中夹带恶意软件或者链接,诱使收件人打开链接,由于所回复的邮件包含合法的原始邮件内容,因此具有极高的迷惑性和成功率。

01 宜家遭遇持续攻击

根据BleepingComputer的报道,宜家向员工发送警告称正在遭受针对内部邮箱的回复链网络钓鱼网络攻击,这些钓鱼电子邮件也来自其他受感染的宜家组织和业务合作伙伴。

“针对Inter IKEA邮箱的网络攻击正在进行中。其他宜家组织、供应商和业务合作伙伴也受到了同样的攻击,并进一步向Inter IKEA的人员传播恶意电子邮件。”一封发送给宜家员工的内部电子邮件警告说:

“这意味着攻击可能来自与您合作的人、任何外部组织的电子邮件,以及对已经进行的邮件会话的回复。因此很难检测到,我们要求您格外小心。”

宜家发送给员工的内部电子邮件

宜家IT团队警告员工,回复链电子邮件攻击的钓鱼邮件包含末尾有7位数字的链接,并分享了一封示例电子邮件,如下图所示。此外,员工被告知不要打开电子邮件,无论是谁发送的,并立即向IT部门报告。

收件人还被告知需要通过Microsoft Teams聊天应用通知电子邮件发件人以确认电子邮件。

攻击者最近开始使用ProxyShell和ProxyLogin漏洞来入侵企业内部Microsoft Exchange服务器,以实施网络钓鱼攻击。

一旦他们获得对服务器的访问权限,他们就会使用内部Microsoft Exchange服务器对使用窃取的公司电子邮件的员工进行回复链攻击。

由于电子邮件是从内部受感染服务器发送或回复合法电子邮件,因此人们很难怀疑其是钓鱼电子邮件。

此外,由于担心恶意网络钓鱼电子邮件被当作合法邮件从隔离区中释放出来,宜家已经暂时禁止员工在攻击解决之前从隔离区释放电子邮件。

“我们的电子邮件过滤器可以识别一些恶意电子邮件并将其隔离。由于该电子邮件可能是对正在进行的对话的回复,因此很容易认为电子邮件过滤器出错并将电子邮件从隔离区中释放出来。因此,我们进一步通知禁止任何人从隔离区释放电子邮件,”宜家在员工通告中指出。

虽然宜家没有透露更多攻击细节,也没有向员工透露内部服务器是否遭到入侵,但他们似乎也遭受了类似的攻击。

02 攻击可被用于传播Emotet或Qbot木马,并部署勒索软件

从上面经过编辑的网络钓鱼电子邮件截图中的URL链接,可以看出这确实是针对宜家的攻击。

访问这些URL时,浏览器将被重定向到包含恶意Excel文档的名为“charts.zip”的下载链接。此附件告诉收件人单击“启用内容”或“启用编辑”按钮以正确查看它,如下所示。

单击这些按钮后,将执行恶意宏,从远程站点下载名为“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件,并将它们保存到C:\Datop文件夹中。

这些OCX文件会被重命名为DLL,并使用 regsvr32.exe命令执行以安装恶意软件负载。

此前,根据VirusTotal的样本提交,业界已经观测到使用此类方法安装Emotet或Qbot木马(即QakBot和Quakbot)的钓鱼攻击。

Qbot和Emotet木马都会导致进一步的网络入侵,并最终在失陷的网络上部署勒索软件。

由于感染木马的严重性以及微软Exchange服务器可能遭到入侵,宜家已经将此次安全事件定性为重大网络安全事件,可能会导致更具破坏性的攻击。

前一篇GoDaddy数据泄露事件波及经销商子公司
后一篇周刊 | 网安大事回顾(2021.11.22—11.28)