[그림1. 공격 진행 순서]

 

 

위협 행위자들은 훔친 이메일 체인을 활용하여 보안 소프트웨어를 우회하고 취약한 시스템에 악성 프로그램을 배포하는 지속적인 스팸 캠페인의 일환으로 Microsoft Exchange Server의 ProxyLogon 및 ProxyShell의 익스플로잇을 악용하고 있다.

 

연구원인 Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar는 지난주에 발간한 보고서에서 "기존 이메일 체인에 대한 회신으로 악성 이메일을 보내는 것으로 알려져 있다. 이러한 성과를 거두기 위해서는 ProxyLogon 및 ProxyShell 익스플로잇 체인을 사용했다고 생각한다."고 말했다.

 

ProxyLogon 및 ProxyShell은 위협 행위자가 권한을 상승시키고 원격으로 임의 코드를 실행하여 취약한 시스템을 효과적으로 제어할 수 있는 Microsoft Exchange Server의 버그를 참조한다. ProxyLogon 버그는 3월에 해결되었지만 ProxyShell 버그는 5월과 7월에 릴리즈된 업데이트에서 패치되었다.

 

 

[그림2. DLL 감염 흐름]

 

 

Trend Micro는 CVE-2021-26855(ProxyLogon), CVE-2021-34473 및 CVE-2021-34523(ProxyShell)에 대한 공개 익스플로잇이 서로 다른 침입으로 손상된 Exchange Server 3대에서 사용되는 것을 관찰했다고 밝혔다. 합법적인 이메일 스레드에 대한 액세스를 가로채고 악의적인 스팸 메시지를 전송하여 수신자가 이메일을 열 가능성을 높였다.

 

연구원들은 "이 기술을 이용해 모든 내부 도메인 사용자들에게 악성 스팸을 전달하면 메일 발송자가 이러한 내부 이메일을 필터링하거나 확인할 수 없기 때문에 공격을 탐지하거나 중단할 가능성이 줄어들며, 추가 악성 프로그램을 설치하여 레이더에 노출되지 않도록 할 수 있다."고 말했다. 

 

공격 체인은 링크를 포함하는 악성 이메일 메시지를 포함하며, 이 메시지를 클릭하면 Microsoft Excel 또는 Word 파일이 삭제된다. 문서를 열면 수신자에게 매크로를 활성화하라는 메시지가 표시되어 궁극적으로 Cobalt Strike 및 Qbot과 같은 최종 단계 페이로드를 가져오는 매개체 역할을 하는 SQUIRRELWAFFLE 멀웨어 로더를 다운로드하고 실행한다.

 

연구원들은 "SQUIRRELWAFFLE 캠페인은 사용자들이 악의적인 이메일과 파일을 마스킹하는 데 사용되는 다양한 전술들을 경계해야 한다. 신뢰할 수 있는 발송자로부터 오는 이메일에 포함된 링크나 파일이 안전하다는 지표가 될 수 없다."고 결론지었다. 

 

 

 

출처