IKEA, tehdit aktörlerinin çalıntı yanıt zinciri e-postalarını kullanarak dahili kimlik avı saldırılarında çalışanları hedef aldığı devam eden bir siber saldırıyla mücadele ediyor.
Yanıt zinciri e-posta saldırısı, tehdit aktörlerinin meşru kurumsal e-postaları çalması ve ardından alıcıların cihazlarına kötü amaçlı yazılım yükleyen kötü amaçlı belgelere bağlantılar vererek yanıtlamasıdır.
Yanıt zinciri e-postaları bir şirketten gelen meşru e-postalar olduğundan ve genellikle güvenliği ihlal edilmiş e-posta hesaplarından ve dahili sunuculardan gönderildiğinden, alıcıların e-postaya güveneceği ve kötü amaçlı belgeleri açma olasılığı daha yüksek olacaktır.
Ikea devam eden bir saldırı ile ilgileniyor
BleepingComputer tarafından görülen dahili e-postalarda IKEA, çalışanları şirketi, tedarikçilerini ve iş ortaklarını hedef alan devam eden bir yanıt zinciri kimlik avı siber saldırısı konusunda uyarıyor.
“Inter IKEA posta kutularını hedef alan devam eden bir siber saldırı var. Diğer IKEA kuruluşları, tedarikçileri ve iş ortakları aynı saldırıyla tehlikeye girer ve Inter IKEA’daki kişilere kötü amaçlı e-postaları daha da yaymaktadır.” dedi.
“Bu, saldırının birlikte çalıştığınız birinden, herhangi bir harici kuruluştan e-posta yoluyla ve zaten devam eden konuşmalara yanıt olarak gelebileceği anlamına gelir. Bu nedenle, sizden ekstra dikkatli olmanızı istediğimiz tespit etmek zordur.”
IKEA BT ekipleri, yanıt zinciri e-postalarının sonunda yedi haneli bağlantılar içerdiği ve aşağıda gösterildiği gibi örnek bir e-posta paylaştığı konusunda çalışanları uyarır. Buna ek olarak, çalışanlara e-postaları kimin gönderdiğine bakılmaksızın açmamaları ve derhal BT departmanına bildirmeleri söylenir.
Alıcılara ayrıca, e-postaları gönderene e-postaları bildirmesi için Microsoft Teams sohbeti aracılığıyla söylemeleri söylenir.
Tehdit aktörleri son zamanlarda başladı iç Microsoft Exchange sunucularının güvenliğini tehlikeye at kimlik avı saldırıları gerçekleştirmek için ProxyShell ve ProxyLogin güvenlik açıklarını kullanma.
Bir sunucuya eriştikten sonra, çalınan şirket e-postalarını kullanan çalışanlara karşı yanıt zinciri saldırıları gerçekleştirmek için dahili Microsoft Exchange sunucularını kullanırlar.
E-postalar dahili güvenliği ihlal edilmiş sunuculardan ve mevcut e-posta zincirlerinden gönderildiğinden, e-postaların kötü amaçlı olmadığına dair daha yüksek bir güven düzeyi vardır.
IKEA saldırıyla ilgili e-postalarımıza yanıt vermemiş ve dahili sunucuların ele geçirilip geçirilmediğini çalışanlara açıklamamış olsa da, benzer bir saldırıdan muzdarip oldukları görülmektedir.
Saldırı Emotet veya Qbot truva at yaymak için kullanılan
Yukarıdaki redakte edilmiş kimlik avı e-postasında paylaşılan URL’lerden BleepingComputer, IKEA’yı hedef alan saldırıyı tespit edebildi.
Bu URL’leri ziyaret ederken, tarayıcı kötü amaçlı bir Excel belgesi içeren ‘grafikler.zip’ adlı bir karşıdan yüklemeye yönlendirilir. Bu ek, alıcılara aşağıda gösterildiği gibi düzgün bir şekilde görüntülemek için ‘İçeriği Etkinleştir’ veya ‘Düzenlemeyi Etkinleştir’ düğmelerini tıklatmasını söyler.
Bu düğmeler tıklatıldıktan sonra, uzak bir siteden ‘besta.ocx’, ‘bestb.ocx’ ve ‘bestc.ocx’ adlı dosyaları indirip C:Datop klasörüne kaydeden kötü amaçlı makrolar yürütülür.
Bu OCX dosyaları DLL olarak yeniden adlandırılır ve kötü amaçlı yazılım yükünü yüklemek için regsvr32.exe komutu kullanılarak yürütülür.
Bu yöntemi kullanan kampanyalar görülmüştür Qbot truva atını (qakbot ve Quakbot) ve muhtemelen Emotet’i bir VirusTotal gönderimi BleepingComputer tarafından bulundu.
Qbot ve Emotet truva atları, hem daha fazla ağ uzlaşmasına hem de nihayetinde ihlal edilmiş bir ağda fidye yazılımı dağıtımına yol açar.
Bu enfeksiyonların ciddiyeti ve Microsoft Exchange sunucularının olası uzlaşması nedeniyle IKEA, bu güvenlik olayını potansiyel olarak çok daha yıkıcı bir saldırıya yol açabilecek önemli bir siber saldırı olarak ele alıyor.