เซิร์ฟเวอร์ Microsoft Exchange โดนแฮ็กจากภายในด้วยการโจมตีแบบ Reply-Chain

พบผู้ไม่หวังดีกำลังเจาระบบเซิร์ฟเวอร์ Microsoft Exchange โดยใช้ช่องโหว่ ProxyShell และ ProxyLogon เพื่อปล่อยมัลแวร์ รวมทั้งก้าวข้ามการตรวจจับด้วยเทคนิคโจมตีที่ใช้อีเมล Reply-Chain ภายในที่จารกรรมมาได้

ปกติแล้วเวลาที่ผู้โจมตีใช้เทคนิคอีเมลอันตรายนั้น จุดที่ยากที่สุดคือการหลอกให้ผู้ใช้เชื่อถือผู้ส่งจนถึงระดับที่พวกเขายอมกดลิงค์หรือเปิดไฟล์แนบที่ใช้ส่งต่อมัลแวร์ ซึ่งล่าสุดนักวิจัยจาก TrendMicro ค้นพบเทคนิคที่น่าสนใจ

โดยเป็นการส่งต่ออีเมลอันตรายไปยังผู้ใช้ภายในบริษัทของเหยื่อด้วยการใช้เซิร์ฟเวอร์ Microsoft Exchange ของเหยื่อเองที่แฮ็กมาได้ กรณีนี้ผู้ที่อยู่เบื้องหลังเชื่อว่าเป็นผู้ที่ใช้ชื่อว่า “TR” ที่เคยใช้วิธีการเดียวกันนี้ในการปล่อยมัลแวร์อื่นๆ มาแล้ว

ไม่ว่าจะเป็น Qbot, IcedID, Cobalt Strike, และ SquirrelWaffle เป็นต้น เพื่อที่จะลวงเป้าหมายที่เป็นระดับบริษัทให้เปิดไฟล์แนบอันตรายนั้น ผู้โจมตีใช้ช่องโหว่ข้างต้นบนเอ็กซ์เชนจ์เพื่อตอบเมลภายในที่ใส่ลิงค์อันตรายอยู่ ที่เรียกว่าเทคนิค Reply Chain Attack

ที่มา : Bleepingcomputer

////////////////////

สมัครสมาชิกรับข่าวสารด้านไอทีฟรี

ชื่อของคุณ

กรุณากรอกอีเมล์*

from:https://www.enterpriseitpro.net/server-microsoft-exchange/