Cụ thể, nhóm ứng cứu sự cố của Trend Micro phát hiện chiến dịch này sau khi xem xét và phân tích một số cuộc tấn công xảy ra ở khu vực Trung Đông, điều này dẫn đến một cuộc điều tra sâu hơn về quyền truy cập ban đầu của các cuộc tấn công này, trong đó điểm nhấn là việc phát tán một loại mã độc chưa từng biết đến có tên là “SQUIRRELWAFFLE”. Theo nhóm nghiên cứu tới từ Cisco Talos, các cuộc tấn công được cho là đã bắt đầu vào giữa tháng 9/2021, thông qua các tài liệu Microsoft Office độc hại được đính kèm.
Theo các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Cuộc tấn công được thực hiện với việc tin tặc sẽ gửi các email độc hại dưới dạng mail trả lời cho các chuỗi email đã tồn tại từ trước, một kỹ thuật làm giảm đi sự cảnh giác của nạn nhân trước các hành vi độc hại. Để có thể thực hiện điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng chuỗi khai thác ProxyLogon và ProxyShell”.
Được biết, ProxyLogon và ProxyShell đề cập đến một tập hợp các lỗ hổng trong máy chủ Microsoft Exchange, có thể cho phép tin tặc nâng cao đặc quyền và thực thi từ xa mã tùy ý, thậm chí dẫn đến khả năng kiểm soát toàn bộ hệ thống bị tấn công. Trong khi các lỗ hổng ProxyLogon đã được giải quyết vào tháng 3, thì đối với ProxyShell, lỗ hổng này được vá trong một loạt các bản cập nhật được phát hành vào tháng 5 và tháng 7.
Trend Micro cho biết họ đã phát hiện các tin tặc khai thác trên thực tế các lỗ hổng CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) trên ba trong số các máy chủ Exchange đã bị xâm nhập trong các cuộc tấn công khác nhau, với mục đích để đánh cắp các email hợp pháp và gửi thư spam độc hại dưới dạng các email trả lời, với nội dung phù hợp với email đã bị đánh cắp trước đó. Do vậy làm tăng khả năng người nhận không nghi ngờ và tin tưởng mở email này ra.
Các nhà nghiên cứu nhận xét: “Việc gửi thư rác độc hại bằng cách sử dụng kỹ thuật này để tiếp cận người dùng nội bộ, sẽ làm giảm khả năng phát hiện hoặc ngăn chặn cuộc tấn công, vì các dịch vụ mail gateway sẽ không thể lọc hoặc tách biệt bất kỳ email nội bộ nào”. Ngoài ra, một điều đáng chú ý là các tin tặc đã không thực hiện thêm các hành vi độc hại nào khác, như cài đặt mã độc bổ sung trên máy chủ Exchange để tránh sự phát hiện của các chương trình, phần mềm bảo mật, trước khi email độc hại có thể được phát tán và lây nhiễm trong môi trường.
Chuỗi tấn công liên quan đến các email giả mạo có chứa một liên kết mà khi được nhấp vào tệp Microsoft Excel hoặc Word sẽ tự động tải xuống máy tính của nạn nhân. Sau khi mở tài liệu này, một lời nhắc bật macro sẽ được hiển thị, từ đó dẫn đến việc thực thi mã độc SQUIRRELWAFFLE, hoạt động như một phương thức để tìm nạp các payload, mục đích để triển khai các mã độc hại như Cobalt Strike và Qbot ở trong giai đoạn cuối cùng.
Cuộc tấn công này đánh dấu một bước leo thang mới trong các chiến dịch lừa đảo, trong đó tin tặc đã xâm nhập vào máy chủ email Microsoft Exchange của doanh nghiệp để truy cập trái phép vào hệ thống mail nội bộ của họ, và phân phối email độc hại nhằm mục đích lây nhiễm và phát tán đến tất cả người dùng khác.
Các nhà nghiên cứu kết luận: “Chiến dịch SQUIRRELWAFFLE gần đây như một lời cảnh báo đặc biệt, khiến người dùng có thể cảnh giác cao hơn với những kỹ thuật tấn công khác nhau, được tin tặc sử dụng để che giấu các email và tệp độc hại. Bên cạnh đó, bất kỳ liên kết hoặc tệp đính kèm nào trong những email đến từ các địa chỉ đáng tin cậy, cũng không thể chắc chắn rằng những email đấy đều an toàn”.
Điều quan trọng là phải đảm bảo rằng các bản vá cho các lỗ hổng Microsoft Exchange, cụ thể là ProxyShell và ProxyLogon đã được áp dụng. Microsoft cho biết, những người dùng đã cập dụng bản vá của họ đối với ProxyLogon vào tháng 3 sẽ không được bảo vệ khỏi các lỗ hổng ProxyShell, chính vì vậy Microsoft khuyến cáo người dùng nên cài đặt các bản cập nhật bảo mật mới hơn để có thể bảo vệ hệ thống của mình.