Saldırganlar, ProxyShell ve ProxyLogon güvenlik açıklarından yararlanarak kötü amaçlı yazılım dağıtmaya ve yanıt zinciri e-postalarını kullanarak sistemleri atlamaya devam ederek Exchange sunucularının saldırıya uğramasına neden olur.
TrendMicro araştırmacıları, kötü niyetli e-postaları dağıtmak için kullanılan ilginç bir taktik keşfetti. Yine saldırganlar, ProxyShell ve ProxyLogon güvenlik açıklarını kullanarak Microsoft Exchange sunucularına saldırır ve ardından zincirleme saldırılarla kötü niyetli dosyalar içeren postaları dağıtmaya çalışırlar. Şirket içinde veya diğer şirketler arasında dönen mail trafiği kullanılarak güvenlik sistemleri baypas edilmeye çalışılır. Bu neden bir şirketin başka bir şirketten kontrol etmeden gelen posta alma olasılığıdır.
Kullanıcı içeriği etkinleştirdiğinde, Qbot, Cobalt Strike, SquirrelWaffle veya başka herhangi bir kötü amaçlı yazılım olsun, ek tarafından dağıtılan kötü amaçlı yazılımı indirmek ve yüklemek için kötü amaçlı makrolar çalıştırır. Trend Micro’nun raporuna göre araştırmacılar, bu saldırıların Qbot’u yükleyen SquirrelWaffle yükleyicisini dağıttığını gördüklerini söyledi.
Exchange sunucularınızı güncel tutun
Microsoft, ProxyLogon güvenlik açıklarını Mart ayında ve ProxyShell güvenlik açığını Nisan ve Mayıs aylarında düzelterek güncellemeler yayınladı.Henüz tüm güncellemeleri yapmayan kurum ve kuruluşlar varsa vakit kaybetmeden güncellemelerin yapılması tavsiye ediliyor.
Kaynak: bleepingcomputer.com
