宜家遭遇黑客持续网络攻击,接管员工账户发送钓鱼邮件

2021-11-30 11:03:25 管理员 409


近期宜家(IKEA)遭遇黑客的持续攻击,入侵电子邮件系统后,盗取信息接管了员工的电子邮件账户,然后冒充该员工向宜家相关合作伙伴发送电子邮件,进行网络钓鱼。这种方法非常凑效,因为收件人看到发件人是可信任的宜家工作人员,很大机会下载或打开邮件内的链接。此次宜家遭遇到的持续的钓鱼电子邮件攻击有个显著特点,攻击者使用回复电子邮件的方式在宜家内部网络对其员工进行钓鱼攻击。


所谓“回复链电子邮件攻击”是指攻击者先设法入侵公司电子邮件,然后从受感染的电子邮件账户或内部邮件服务器发送回复,并在邮件回复中夹带恶意软件或者链接,诱使收件人打开链接,由于所回复的邮件包含合法的原始邮件内容,因此具有极高的迷惑性和成功率。


根据BleepingComputer的报道,宜家向员工发送警告称正在遭受针对内部邮箱的回复链网络钓鱼网络攻击,这些钓鱼电子邮件也来自其他受感染的宜家组织和业务合作伙伴。


“针对Inter IKEA邮箱的网络攻击正在进行中。其他宜家组织、供应商和业务合作伙伴也受到了同样的攻击,并进一步向Inter IKEA的人员传播恶意电子邮件。”一封发送给宜家员工的内部电子邮件警告说:“这意味着攻击可能来自与您合作的人、任何外部组织的电子邮件,以及对已经进行的邮件会话的回复。因此很难检测到,我们要求您格外小心。”

宜家发送给员工的内部电子邮件


宜家IT团队警告员工,回复链电子邮件攻击的钓鱼邮件包含末尾有7位数字的链接,并分享了一封示例电子邮件,如下图所示。此外,员工被告知不要打开电子邮件,无论是谁发送的,并立即向IT部门报告。


(发送给宜家员工的钓鱼邮件示例)


收件人还被告知需要通过Microsoft Teams聊天应用通知电子邮件发件人以确认电子邮件。


攻击者最近开始使用ProxyShell和ProxyLogin漏洞来入侵企业内部Microsoft Exchange服务器,以实施网络钓鱼攻击。


一旦他们获得对服务器的访问权限,他们就会使用内部Microsoft Exchange服务器对使用窃取的公司电子邮件的员工进行回复链攻击。

由于电子邮件是从内部受感染服务器发送或回复合法电子邮件,因此人们很难怀疑其是钓鱼电子邮件。


此外,由于担心恶意网络钓鱼电子邮件被当作合法邮件从隔离区中释放出来,宜家已经暂时禁止员工在攻击解决之前从隔离区释放电子邮件。


“我们的电子邮件过滤器可以识别一些恶意电子邮件并将其隔离。由于该电子邮件可能是对正在进行的对话的回复,因此很容易认为电子邮件过滤器出错并将电子邮件从隔离区中释放出来。因此,我们进一步通知禁止任何人从隔离区释放电子邮件,”宜家在员工通告中指出。


虽然宜家没有透露更多攻击细节,也没有向员工透露内部服务器是否遭到入侵,但他们似乎也遭受了类似的攻击。


攻击可被用于传播Emotet或Qbot木马,并部署勒索软件

从上面经过编辑的网络钓鱼电子邮件截图中的URL链接,可以看出这确实是针对宜家的攻击。


访问这些URL时,浏览器将被重定向到包含恶意Excel文档的名为“charts.zip”的下载链接。此附件告诉收件人单击“启用内容”或“启用编辑”按钮以正确查看它,如下所示。

                                                               (钓鱼活动中使用的excel附件)


单击这些按钮后,将执行恶意宏,从远程站点下载名为“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件,并将它们保存到C:\Datop文件夹中。


这些OCX文件会被重命名为DLL,并使用 regsvr32.exe命令执行以安装恶意软件负载。


此前,根据VirusTotal的样本提交,业界已经观测到使用此类方法安装Emotet或Qbot木马(即QakBot和Quakbot)的钓鱼攻击。


Qbot和Emotet木马都会导致进一步的网络入侵,并最终在失陷的网络上部署勒索软件。


由于感染木马的严重性以及微软Exchange服务器可能遭到入侵,宜家已经将此次安全事件定性为重大网络安全事件,可能会导致更具破坏性的攻击。


通过宜家此次安全事件的发生,网际思安作为国内专业的邮件安全领域产品与解决方案提供商,建议各大政企用户对电子邮件系统定期进行安全检查,及时更新邮件系统软件补丁,尽可能弥补已知漏洞带来的威胁。最为重要的是选择一款防护级别较高的邮件安全网关,避免邮件账号遭受暴力破解,即使在邮件系统因为自身漏洞导致被黑客入侵利用时,也可以通过邮件网关的过滤隔离功能,避免被黑客在内部网络进行钓鱼邮件攻击。类似针对宜家的这种钓鱼邮件攻击行为,网际思安邮件安全网关的URL隔离替换功能就可以立即发挥作用,自动将钓鱼邮件正文内容中潜在威胁的URL地址做链接转换或远程隔离访问,可以极大减轻运维和安全人员的工作压力,彻底阻绝钓鱼攻击行为。