L’équipe de recherche de Trend Micro a effectué une analyse sur une série d’intrusions au Moyen-Orient qui a abouti à la distribution d’un loader inédit baptisé SQUIRRELWAFFLE. Documentées pour la première fois par Cisco Talos, les attaques auraient commencé à la mi-septembre 2021 par le biais de documents Microsoft Office falsifiés.

ProxyLogon et ProxyShell font référence à un ensemble de failles dans les serveurs Microsoft Exchange qui pourraient permettre à un attaquant d’élever ses privilèges et d’exécuter du code arbitraire à distance, ce qui lui permettrait de prendre le contrôle des machines vulnérables. Alors que les failles de ProxyLogon ont été corrigées en mars, les failles de ProxyShell ont été corrigées dans une série de mises à jour publiées en mai et juillet.

Les vulnérabilités de Microsoft Exchange

Lors des analyses effectuées, des preuves des exploits CVE-2021-26855, CVE-2021-34473 et CVE-2021-34523 ont été obtenues dans les journaux IIS des serveurs Exchange qui ont été compromis dans les différentes intrusions. Les mêmes CVE ont été utilisés dans les intrusions ProxyLogon (CVE-2021-26855) et ProxyShell (CVE-2021-34473 et CVE-2021-34523). Microsoft a publié un correctif pour ProxyLogon en mars ; ceux qui ont appliqué les mises à jour de mai ou de juillet sont protégés contre les vulnérabilités de ProxyShell.

Courrier malveillant (SPAM)

La chaîne d’attaque consiste en des courriels frauduleux contenant un lien qui, lorsqu’on clique dessus, télécharge un fichier Microsoft Excel ou Word. En ouvrant le document, le destinataire active les macros, ce qui conduit finalement au téléchargement et à l’exécution du chargeur de malware SQUIRRELWAFFLE, qui permet d’obtenir des charges utiles en aval telles que Cobalt Strike et Qbot.

Source : Trend Micro

Dans les intrusions analysées, les en-têtes des courriels malveillants reçus provenaient de routes de messagerie internes (serveurs de messagerie internes), ce qui indique que les courriels ne provenaient pas d’un expéditeur, d’un courtier en messages ou d’une passerelle (MTA) externes.

Cette technique de distribution de courrier malveillant augmente considérablement les chances qu’un courrier électronique atteigne tous les utilisateurs du domaine de l’entreprise, ce qui réduit les chances de détecter ou d’arrêter l’attaque, car les passerelles de messagerie ne seront pas en mesure de filtrer ou de mettre en quarantaine ces courriers électroniques internes.

L’utilisation de cette technique marque une percée dans les campagnes de phishing où un attaquant a pénétré dans les serveurs de messagerie Microsoft Exchange de l’entreprise pour obtenir un accès non autorisé aux systèmes de messagerie internes et distribuer des courriels malveillants dans le but d’infecter les utilisateurs de l’entreprise avec des logiciels malveillants.

Les campagnes SQUIRRELWAFFLE doivent inciter les utilisateurs à se méfier des différentes tactiques utilisées pour masquer les e-mails et les fichiers malveillants. Les courriels provenant de contacts de confiance peuvent ne pas être suffisamment sécurisés et des mesures de protection doivent être mises en œuvre, et il convient de se méfier des liens et des pièces jointes.

Plus d’information:
https://blog.talosintelligence.com/2021/10/squirrelwaffle-emerges.html
https://www.trendmicro.com/en_us/research/21/k/Squirrelwaffle-Exploits-ProxyShell-and-ProxyLogon-to-Hijack-Email-Chains.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-26855
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34473
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34523