[[437387]]

11月26日BleepingComputer消息，全球知名家居零售商——宜家，正在經(jīng)歷一場持續(xù)的網(wǎng)絡攻擊戰(zhàn)。攻擊者利用竊取來的回復鏈電子郵件，對宜家員工實施內(nèi)部釣魚攻擊。

回復鏈電子郵件攻擊是指攻擊者竊取合法的公司電子郵件，然后用嵌入惡意文件的鏈接回復公司內(nèi)部郵件。因為發(fā)件人來自公司內(nèi)部，收件人將毫無防備地打開惡意文件，而這些惡意文件將會在收件人的設備上安裝惡意軟件。

BleepingComputer觀察到，宜家已經(jīng)發(fā)送內(nèi)部郵件提醒員工警惕釣魚郵件攻擊，同時提到：“目前正在發(fā)生針對宜家郵箱的網(wǎng)絡攻擊。其他宜家機構、供應商和商業(yè)合作伙伴也受到了同樣的攻擊，并進一步向宜家內(nèi)部人員傳播惡意郵件。”

(發(fā)送給宜家員工的內(nèi)部郵件)

“這意味著，帶有惡意文件的釣魚郵件可能來自你的同事，也可能來自任何外部組織，并以正常進行的往來郵件回復形式發(fā)送到你的郵箱，因此很難察覺和判別，我們要求你格外小心。”

宜家IT團隊警告員工稱，回復鏈釣魚郵件中包含末尾有7位數(shù)字的鏈接，并提供了郵件示例。要求員工不要打開此類電子郵件，不管這些郵件是誰發(fā)送的，一有發(fā)現(xiàn)立即報告給IT部門，并且通過Microsoft Teams 聊天、電話等不同渠道聯(lián)系發(fā)件人，核實發(fā)送電子郵件的真實性。

(發(fā)送給宜家員工的釣魚郵件示例)

攻擊者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內(nèi)部服務器，以實施釣魚攻擊活動。

一旦獲得服務器訪問權限，他們就會使用內(nèi)部的Microsoft Exchange服務器，對使用被竊電子郵件的公司員工進行回復鏈攻擊。

“我們的電子郵件過濾器可以識別出惡意電子郵件并將其隔離。由于電子郵件可能是對正在進行的對話的回復，因此很容易認為電子郵件過濾器犯了錯誤并將電子郵件從隔離中釋放。因此，在進一步通知之前，我們將禁止所有人從隔離區(qū)釋放電子郵件。”宜家向員工通報。

釣魚郵件可被用于傳播Emotet或Qbot木馬，并部署勒索軟件

BleepingComputer通過上述網(wǎng)絡釣魚郵件中共享的url，識別出這是一起針對宜家的攻擊。當訪問這些url時，瀏覽器將被重定向到一個名為“charts.zip”的下載文件，其中包含一個惡意的Excel文檔。該附件提示收件人單擊“啟用內(nèi)容”或“啟用編輯”按鈕以正確地查看它，如下所示。

(釣魚活動中使用的excel附件)

一旦點擊這些按鈕，就會執(zhí)行惡意宏，從遠程站點下載名為“bestb.ocx”、“bestb.ocx”和“bestc.ocx”的文件，并將它們保存到 C:\Datop 文件夾中。這些 OCX 文件被重命名為 DLL，并使用 regsvr32.exe 執(zhí)行命令以安裝惡意軟件。

此前，根據(jù)VirusTotal提交的樣本分析，業(yè)界已經(jīng)有類似方式安裝Emotet和Qbot木馬的釣魚郵件攻擊。Qbot和Emotet木馬都將導致進一步的網(wǎng)絡入侵，并最終在失陷的網(wǎng)絡上部署勒索軟件。

考慮到此類攻擊的嚴重程度以及Microsoft Exchange服務器被入侵的可能危害，宜家已將這次事件視為一次重大的網(wǎng)絡攻擊，估計將會帶來更具破壞性的影響。