聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

攻击者正在使用被盗的回复链邮件，针对宜家员工发动内部钓鱼攻击。

由于回复链邮件是源自企业的合法邮件，且经常由受陷邮件账户和内部服务器发送，因此收件人将信任邮件并更可能打开恶意文档。

宜家应对攻击

宜家发布公司内部邮件提醒员工称内部邮箱正遭回复链钓鱼网络攻击，这些邮件也从其它受陷宜家组织机构和业务合作伙伴发出。宜家在邮件中指出，“宜家内部邮箱正遭攻击。宜家的其它组织机构、供应商和业务合作伙伴也遭到同样的攻击并进一步将恶意邮件发送给 Inter IKEA 中的人员。这意味着攻击可通过同事、外部组织机构发送的邮件以及正在进行的对话回复发动。因此该攻击难以检测，提醒大家格外小心。”

宜家IT团队提醒员工称回复链邮件中包含末尾是7个数字的链接，而且还分享了如下样例邮件。此外，宜家告知员工称无论发件人是谁都不能打开这些邮件，并且立即告知IT部门。收件人也应当通过微软 Teams 聊天告知发件人相关邮件的存在。

最近，威胁行动者开始使用 ProxyShell 和 ProxyLogin 漏洞攻陷微软 Exchange 内部服务器，执行钓鱼攻击。一旦获得服务器访问权限后，攻击者就使用被盗企业邮箱通过微软 Exchange 内部服务器对员工发动回复链攻击。由于这些邮件是通过内部受陷服务器和已有的邮件链发送的，因此人们对这些邮件的信任度更高。

还有一个问题是和，收件人可能认为这些恶意邮件是过滤器错误拦截，因此可能会将邮件释放出来。为此宜家不允许员工在攻击事件解决之前释放这些邮件。

虽然宜家尚未就此事置评也并未向员工披露内部服务器是否受攻陷，但似乎正在遭受类似攻击。

传播 Emotet 或 Qbot木马

从钓鱼邮件中分享的URL来看，这起攻击针对的正是宜家公司。

用户访问这些URL时，浏览器将被重定向并下载包含恶意 Excel 文档的 “charts.zip”。该附件告知收件人点击“启用内容“或”启用编辑“按钮以查看文档。点击按钮后，恶意宏将被执行，远程下载 “besta.ocx”、”bestb.ocx”和 “bestc.ocx”文件并将它们保存至 C:\Datop 文件夹。这些OCX 文件被重命名为 DLLs 并通过regsvr32.exe 命令执行以安装恶意软件payload。

从 VirusTotal 网站看，攻击活动安装 Qbot 木马（QakBoT 和 Quakbot）以及很可能安装 Emotet。这些木马均可进一步导致网络攻陷，最终部署勒索软件。

鉴于这些感染的严重程度以及宜家的微软 Exchange 服务器已被攻陷，因此宜家很重视可能导致更具破坏性后果的这起攻击活动。

推荐阅读

挪威议会的内部邮件系统遭攻击，信息被盗

ISIS黑客攻陷英国内阁邮件系统

原文链接

https://www.bleepingcomputer.com/news/security/ikea-email-systems-hit-by-ongoing-cyberattack/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~