全球知名家具和家居零售商宜家家居(IKEA)遭遇重大網絡攻擊
宜家正在與一場進行中的網絡攻擊作斗爭,攻擊者利用竊取的回復鏈郵件對宜家員工進行內部釣魚攻擊。回復鏈電子郵件攻擊(reply-chain email attack)是指威脅行為者竊取合法的公司電子郵件,然后用嵌入惡意文件的鏈接回復郵件,這些文件會在收件人的設備上安裝惡意軟件。由于回復鏈電子郵件是來自公司的合法電子郵件,通常是從失陷的電子郵件帳戶和內部服務器發送的,收件人將信任該電子郵件,更有可能打開惡意文件。這種攻擊雖然不是最新的手法,但危害極大,因為它直接打破了受害者的內部信任鏈,用戶幾乎會絕對相信這類郵件。此前,已有安全研究人員注意到這類攻擊手法。前陣子FBI執法郵箱被用來惡意發送大批量垃圾郵件,也是引發了對合法電子郵件的懷疑。的確,合法的郵件,也不見得可靠和安全,特別是帶有鏈接和附件的,用戶還真的需要火眼金晴。
宜家家居是來自瑞典的全球知名家具和家居零售商,互為和諧的產品系列在功能和風格上可謂種類繁多。宜家家居官方網上商城全面上線,現已開放300+個服務城市!
宜家正在對抗一場進行的網絡攻擊
在BleepingComputer網站看到的宜家內部郵件中,宜家提醒員工,宜家內部郵箱正在遭受回復鏈釣魚網絡攻擊。這些郵件也來自其他被泄露的宜家機構和商業合作伙伴。
“目前正在發生針對宜家郵箱的網絡攻擊。其他宜家機構、供應商和商業合作伙伴也受到了同樣的攻擊,并進一步向宜家內部人員傳播惡意郵件,”BleepingComputer看到一封發給宜家員工的內部郵件解釋道。
這意味著,攻擊可以通過電子郵件來自你的同事,來自任何外部組織,并作為對已經在進行的往來郵件的回復。因此很難察覺和判別,我們要求你格外小心。”
宜家IT團隊警告員工,回復鏈電子郵件包含末尾有7位數字的鏈接,并共享了一個示例電子郵件,如下所示。此外,員工被告知不要打開電子郵件,不管這些郵件是誰發送的,并立即向IT部門報告。
收件人也被告知,發件人的電子郵件通過微軟團隊聊天報告電子郵件。
威脅行為者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內部服務器,以實施釣魚攻擊活動。
一旦他們獲得了訪問服務器的權限,他們就會使用內部的Microsoft Exchange服務器對使用竊取的公司電子郵件的員工進行回復鏈攻擊。
由于電子郵件是通過內部已失陷的服務器和現有的電子郵件鏈發送的,因此有更高的信任度,認為這些電子郵件不是惡意的。
還有人擔心,收件人可能會從隔離中釋放惡意釣魚郵件,以為他們被過濾器錯誤地捕捉到。因此,他們禁止員工釋放被隔離電子郵件的功能,直到攻擊得到解決。
“我們的電子郵件過濾器可以識別一些惡意電子郵件并隔離它們。由于電子郵件可能是對正在進行的對話的回復,因此很容易認為電子郵件過濾器犯了錯誤并將電子郵件從隔離中釋放。因此,在進一步通知之前,我們將禁止所有人從隔離區釋放電子郵件,”宜家向員工通報。
雖然宜家沒有回復BleepingComputer關于這次攻擊的郵件,也沒有向員工透露內部服務器是否被入侵,但他們似乎遭受了這種攻擊。
用于傳播Emotet或Qbot木馬的攻擊
BleepingComputer通過上述編輯過的網絡釣魚郵件中共享的url,已經能夠識別出針對宜家的攻擊。
當訪問這些url時,瀏覽器將被重定向到一個名為“charts.zip”的下載文件,其中包含一個惡意的Excel文檔。該附件告訴收件人單擊“啟用內容”或“啟用編輯”按鈕以正確地查看它,如下所示。
一旦點擊這些按鈕,就會執行惡意宏來下載名為“besta”的文件。ocx”、“bestb。ocx”和“bestc。ocx',保存到C:\Datop文件夾中。
這些OCX文件被重命名為dll,并使用regsvr32.exe命令執行,以安裝惡意軟件的有效負載。
已經看到使用這種方法的活動安裝了Qbot木馬(又名QakBot和Quakbot)和可能基于BleepingComputer發現的VirusTotal提交的Emotet。
Qbot和Emotet木馬都導致了進一步的網絡失陷,并最終在被破壞的網絡上部署勒索軟件。
由于這類攻擊的嚴重性和他們的Microsoft Exchange服務器可能的危害,宜家將這次安全事件視為一次重大的網絡攻擊,可能會導致更大的破壞性攻擊。
參考資源:
1.https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/
2.https://twitter.com/i/web/status/1464337202771599369
