全球知名家具和家居零售商宜家家居(IKEA)遭遇重大网络攻击
宜家正在与一场进行中的网络攻击作斗争,攻击者利用窃取的回复链邮件对宜家员工进行内部钓鱼攻击。回复链电子邮件攻击(reply-chain email attack)是指威胁行为者窃取合法的公司电子邮件,然后用嵌入恶意文件的链接回复邮件,这些文件会在收件人的设备上安装恶意软件。由于回复链电子邮件是来自公司的合法电子邮件,通常是从失陷的电子邮件帐户和内部服务器发送的,收件人将信任该电子邮件,更有可能打开恶意文件。这种攻击虽然不是最新的手法,但危害极大,因为它直接打破了受害者的内部信任链,用户几乎会绝对相信这类邮件。此前,已有安全研究人员注意到这类攻击手法。前阵子FBI执法邮箱被用来恶意发送大批量垃圾邮件,也是引发了对合法电子邮件的怀疑。的确,合法的邮件,也不见得可靠和安全,特别是带有链接和附件的,用户还真的需要火眼金晴。
宜家家居是来自瑞典的全球知名家具和家居零售商,互为和谐的产品系列在功能和风格上可谓种类繁多。宜家家居官方网上商城全面上线,现已开放300+个服务城市!
宜家正在对抗一场进行的网络攻击
在BleepingComputer网站看到的宜家内部邮件中,宜家提醒员工,宜家内部邮箱正在遭受回复链钓鱼网络攻击。这些邮件也来自其他被泄露的宜家机构和商业合作伙伴。
“目前正在发生针对宜家邮箱的网络攻击。其他宜家机构、供应商和商业合作伙伴也受到了同样的攻击,并进一步向宜家内部人员传播恶意邮件,”BleepingComputer看到一封发给宜家员工的内部邮件解释道。
这意味着,攻击可以通过电子邮件来自你的同事,来自任何外部组织,并作为对已经在进行的往来邮件的回复。因此很难察觉和判别,我们要求你格外小心。”
宜家IT团队警告员工,回复链电子邮件包含末尾有7位数字的链接,并共享了一个示例电子邮件,如下所示。此外,员工被告知不要打开电子邮件,不管这些邮件是谁发送的,并立即向IT部门报告。
收件人也被告知,发件人的电子邮件通过微软团队聊天报告电子邮件。
威胁行为者最近开始利用ProxyShell和ProxyLogin漏洞攻击Microsoft Exchange内部服务器,以实施钓鱼攻击活动。
一旦他们获得了访问服务器的权限,他们就会使用内部的Microsoft Exchange服务器对使用窃取的公司电子邮件的员工进行回复链攻击。
由于电子邮件是通过内部已失陷的服务器和现有的电子邮件链发送的,因此有更高的信任度,认为这些电子邮件不是恶意的。
还有人担心,收件人可能会从隔离中释放恶意钓鱼邮件,以为他们被过滤器错误地捕捉到。因此,他们禁止员工释放被隔离电子邮件的功能,直到攻击得到解决。
“我们的电子邮件过滤器可以识别一些恶意电子邮件并隔离它们。由于电子邮件可能是对正在进行的对话的回复,因此很容易认为电子邮件过滤器犯了错误并将电子邮件从隔离中释放。因此,在进一步通知之前,我们将禁止所有人从隔离区释放电子邮件,”宜家向员工通报。
虽然宜家没有回复BleepingComputer关于这次攻击的邮件,也没有向员工透露内部服务器是否被入侵,但他们似乎遭受了这种攻击。
用于传播Emotet或Qbot木马的攻击
BleepingComputer通过上述编辑过的网络钓鱼邮件中共享的url,已经能够识别出针对宜家的攻击。
当访问这些url时,浏览器将被重定向到一个名为“charts.zip”的下载文件,其中包含一个恶意的Excel文档。该附件告诉收件人单击“启用内容”或“启用编辑”按钮以正确地查看它,如下所示。
一旦点击这些按钮,就会执行恶意宏来下载名为“besta”的文件。ocx”、“bestb。ocx”和“bestc。ocx',保存到C:\Datop文件夹中。
这些OCX文件被重命名为dll,并使用regsvr32.exe命令执行,以安装恶意软件的有效负载。
已经看到使用这种方法的活动安装了Qbot木马(又名QakBot和Quakbot)和可能基于BleepingComputer发现的VirusTotal提交的Emotet。
Qbot和Emotet木马都导致了进一步的网络失陷,并最终在被破坏的网络上部署勒索软件。
由于这类攻击的严重性和他们的Microsoft Exchange服务器可能的危害,宜家将这次安全事件视为一次重大的网络攻击,可能会导致更大的破坏性攻击。
参考资源:
1.https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/
2.https://twitter.com/i/web/status/1464337202771599369
