《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 全球知名家具和家居零售商宜家家居(IKEA)遭遇重大網(wǎng)絡攻擊

全球知名家具和家居零售商宜家家居(IKEA)遭遇重大網(wǎng)絡攻擊

2021-11-28
來源:網(wǎng)空閑話
關鍵詞: 宜家家居

  宜家正在與一場進行中的網(wǎng)絡攻擊作斗爭,攻擊者利用竊取的回復鏈郵件對宜家員工進行內(nèi)部釣魚攻擊。回復鏈電子郵件攻擊(reply-chain email attack )是指威脅行為者竊取合法的公司電子郵件,然后用嵌入惡意文件的鏈接回復郵件,這些文件會在收件人的設備上安裝惡意軟件。由于回復鏈電子郵件是來自公司的合法電子郵件,通常是從失陷的電子郵件帳戶和內(nèi)部服務器發(fā)送的,收件人將信任該電子郵件,更有可能打開惡意文件。這種攻擊雖然不是最新的手法,但危害極大,因為它直接打破了受害者的內(nèi)部信任鏈,用戶幾乎會絕對相信這類郵件。此前,已有安全研究人員注意到這類攻擊手法。前陣子FBI執(zhí)法郵箱被用來惡意發(fā)送大批量垃圾郵件,也是引發(fā)了對合法電子郵件的懷疑。的確,合法的郵件,也不見得可靠和安全,特別是帶有鏈接和附件的,用戶還真的需要火眼金晴。

  宜家家居是來自瑞典的全球知名家具和家居零售商,互為和諧的產(chǎn)品系列在功能和風格上可謂種類繁多。宜家家居官方網(wǎng)上商城全面上線,現(xiàn)已開放300+個服務城市!

  宜家正在對抗一場進行的網(wǎng)絡攻擊

  在BleepingComputer網(wǎng)站看到的宜家內(nèi)部郵件中,宜家提醒員工,宜家內(nèi)部郵箱正在遭受回復鏈釣魚網(wǎng)絡攻擊。這些郵件也來自其他被泄露的宜家機構(gòu)和商業(yè)合作伙伴。

  “目前正在發(fā)生針對宜家郵箱的網(wǎng)絡攻擊。其他宜家機構(gòu)、供應商和商業(yè)合作伙伴也受到了同樣的攻擊,并進一步向宜家內(nèi)部人員傳播惡意郵件,”BleepingComputer看到一封發(fā)給宜家員工的內(nèi)部郵件解釋道。

  這意味著,攻擊可以通過電子郵件來自你的同事,來自任何外部組織,并作為對已經(jīng)在進行的往來郵件的回復。因此很難察覺和判別,我們要求你格外小心?!?/p>

  宜家IT團隊警告員工,回復鏈電子郵件包含末尾有7位數(shù)字的鏈接,并共享了一個示例電子郵件,如下所示。此外,員工被告知不要打開電子郵件,不管這些郵件是誰發(fā)送的,并立即向IT部門報告。

  收件人也被告知,發(fā)件人的電子郵件通過微軟團隊聊天報告電子郵件。

  威脅行為者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內(nèi)部服務器,以實施釣魚攻擊活動。

  一旦他們獲得了訪問服務器的權(quán)限,他們就會使用內(nèi)部的Microsoft Exchange服務器對使用竊取的公司電子郵件的員工進行回復鏈攻擊。

  由于電子郵件是通過內(nèi)部已失陷的服務器和現(xiàn)有的電子郵件鏈發(fā)送的,因此有更高的信任度,認為這些電子郵件不是惡意的。

  還有人擔心,收件人可能會從隔離中釋放惡意釣魚郵件,以為他們被過濾器錯誤地捕捉到。因此,他們禁止員工釋放被隔離電子郵件的功能,直到攻擊得到解決。

  ”我們的電子郵件過濾器可以識別一些惡意電子郵件并隔離它們。由于電子郵件可能是對正在進行的對話的回復,因此很容易認為電子郵件過濾器犯了錯誤并將電子郵件從隔離中釋放。因此,在進一步通知之前,我們將禁止所有人從隔離區(qū)釋放電子郵件,“宜家向員工通報。

  雖然宜家沒有回復BleepingComputer關于這次攻擊的郵件,也沒有向員工透露內(nèi)部服務器是否被入侵,但他們似乎遭受了這種攻擊。

  用于傳播Emotet或Qbot木馬的攻擊

  BleepingComputer通過上述編輯過的網(wǎng)絡釣魚郵件中共享的url,已經(jīng)能夠識別出針對宜家的攻擊。

  當訪問這些url時,瀏覽器將被重定向到一個名為”charts.zip“的下載文件,其中包含一個惡意的Excel文檔。該附件告訴收件人單擊”啟用內(nèi)容“或”啟用編輯“按鈕以正確地查看它,如下所示。

  一旦點擊這些按鈕,就會執(zhí)行惡意宏來下載名為”besta“的文件。ocx”、“bestb。ocx”和“bestc。ocx‘,保存到C:\Datop文件夾中。

  這些OCX文件被重命名為dll,并使用regsvr32.exe命令執(zhí)行,以安裝惡意軟件的有效負載。

  已經(jīng)看到使用這種方法的活動安裝了Qbot木馬(又名QakBot和Quakbot)和可能基于BleepingComputer發(fā)現(xiàn)的VirusTotal提交的Emotet。

  Qbot和Emotet木馬都導致了進一步的網(wǎng)絡失陷,并最終在被破壞的網(wǎng)絡上部署勒索軟件。

  由于這類攻擊的嚴重性和他們的Microsoft Exchange服務器可能的危害,宜家將這次安全事件視為一次重大的網(wǎng)絡攻擊,可能會導致更大的破壞性攻擊。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。