《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 全球知名家具和家居零售商宜家家居(IKEA)遭遇重大網(wǎng)絡(luò)攻擊

全球知名家具和家居零售商宜家家居(IKEA)遭遇重大網(wǎng)絡(luò)攻擊

2021-11-28
來源:網(wǎng)空閑話
關(guān)鍵詞: 宜家家居

  宜家正在與一場進(jìn)行中的網(wǎng)絡(luò)攻擊作斗爭,攻擊者利用竊取的回復(fù)鏈郵件對宜家員工進(jìn)行內(nèi)部釣魚攻擊?;貜?fù)鏈電子郵件攻擊(reply-chain email attack )是指威脅行為者竊取合法的公司電子郵件,然后用嵌入惡意文件的鏈接回復(fù)郵件,這些文件會在收件人的設(shè)備上安裝惡意軟件。由于回復(fù)鏈電子郵件是來自公司的合法電子郵件,通常是從失陷的電子郵件帳戶和內(nèi)部服務(wù)器發(fā)送的,收件人將信任該電子郵件,更有可能打開惡意文件。這種攻擊雖然不是最新的手法,但危害極大,因?yàn)樗苯哟蚱屏耸芎φ叩膬?nèi)部信任鏈,用戶幾乎會絕對相信這類郵件。此前,已有安全研究人員注意到這類攻擊手法。前陣子FBI執(zhí)法郵箱被用來惡意發(fā)送大批量垃圾郵件,也是引發(fā)了對合法電子郵件的懷疑。的確,合法的郵件,也不見得可靠和安全,特別是帶有鏈接和附件的,用戶還真的需要火眼金晴。

  宜家家居是來自瑞典的全球知名家具和家居零售商,互為和諧的產(chǎn)品系列在功能和風(fēng)格上可謂種類繁多。宜家家居官方網(wǎng)上商城全面上線,現(xiàn)已開放300+個服務(wù)城市!

  宜家正在對抗一場進(jìn)行的網(wǎng)絡(luò)攻擊

  在BleepingComputer網(wǎng)站看到的宜家內(nèi)部郵件中,宜家提醒員工,宜家內(nèi)部郵箱正在遭受回復(fù)鏈釣魚網(wǎng)絡(luò)攻擊。這些郵件也來自其他被泄露的宜家機(jī)構(gòu)和商業(yè)合作伙伴。

  “目前正在發(fā)生針對宜家郵箱的網(wǎng)絡(luò)攻擊。其他宜家機(jī)構(gòu)、供應(yīng)商和商業(yè)合作伙伴也受到了同樣的攻擊,并進(jìn)一步向宜家內(nèi)部人員傳播惡意郵件,”BleepingComputer看到一封發(fā)給宜家員工的內(nèi)部郵件解釋道。

  這意味著,攻擊可以通過電子郵件來自你的同事,來自任何外部組織,并作為對已經(jīng)在進(jìn)行的往來郵件的回復(fù)。因此很難察覺和判別,我們要求你格外小心。“

  宜家IT團(tuán)隊(duì)警告員工,回復(fù)鏈電子郵件包含末尾有7位數(shù)字的鏈接,并共享了一個示例電子郵件,如下所示。此外,員工被告知不要打開電子郵件,不管這些郵件是誰發(fā)送的,并立即向IT部門報(bào)告。

  收件人也被告知,發(fā)件人的電子郵件通過微軟團(tuán)隊(duì)聊天報(bào)告電子郵件。

  威脅行為者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內(nèi)部服務(wù)器,以實(shí)施釣魚攻擊活動。

  一旦他們獲得了訪問服務(wù)器的權(quán)限,他們就會使用內(nèi)部的Microsoft Exchange服務(wù)器對使用竊取的公司電子郵件的員工進(jìn)行回復(fù)鏈攻擊。

  由于電子郵件是通過內(nèi)部已失陷的服務(wù)器和現(xiàn)有的電子郵件鏈發(fā)送的,因此有更高的信任度,認(rèn)為這些電子郵件不是惡意的。

  還有人擔(dān)心,收件人可能會從隔離中釋放惡意釣魚郵件,以為他們被過濾器錯誤地捕捉到。因此,他們禁止員工釋放被隔離電子郵件的功能,直到攻擊得到解決。

  ”我們的電子郵件過濾器可以識別一些惡意電子郵件并隔離它們。由于電子郵件可能是對正在進(jìn)行的對話的回復(fù),因此很容易認(rèn)為電子郵件過濾器犯了錯誤并將電子郵件從隔離中釋放。因此,在進(jìn)一步通知之前,我們將禁止所有人從隔離區(qū)釋放電子郵件,“宜家向員工通報(bào)。

  雖然宜家沒有回復(fù)BleepingComputer關(guān)于這次攻擊的郵件,也沒有向員工透露內(nèi)部服務(wù)器是否被入侵,但他們似乎遭受了這種攻擊。

  用于傳播Emotet或Qbot木馬的攻擊

  BleepingComputer通過上述編輯過的網(wǎng)絡(luò)釣魚郵件中共享的url,已經(jīng)能夠識別出針對宜家的攻擊。

  當(dāng)訪問這些url時,瀏覽器將被重定向到一個名為”charts.zip“的下載文件,其中包含一個惡意的Excel文檔。該附件告訴收件人單擊”啟用內(nèi)容“或”啟用編輯“按鈕以正確地查看它,如下所示。

  一旦點(diǎn)擊這些按鈕,就會執(zhí)行惡意宏來下載名為”besta“的文件。ocx”、“bestb。ocx”和“bestc。ocx‘,保存到C:\Datop文件夾中。

  這些OCX文件被重命名為dll,并使用regsvr32.exe命令執(zhí)行,以安裝惡意軟件的有效負(fù)載。

  已經(jīng)看到使用這種方法的活動安裝了Qbot木馬(又名QakBot和Quakbot)和可能基于BleepingComputer發(fā)現(xiàn)的VirusTotal提交的Emotet。

  Qbot和Emotet木馬都導(dǎo)致了進(jìn)一步的網(wǎng)絡(luò)失陷,并最終在被破壞的網(wǎng)絡(luò)上部署勒索軟件。

  由于這類攻擊的嚴(yán)重性和他們的Microsoft Exchange服務(wù)器可能的危害,宜家將這次安全事件視為一次重大的網(wǎng)絡(luò)攻擊,可能會導(dǎo)致更大的破壞性攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。