Jetzt patchen! Gehackte Exchange Server als Spam-Schleuder missbraucht
Um Trojaner-Mails vor einer Filterung zu schützen und noch glaubhafter erscheinen zu lassen, versenden Kriminelle sie intern, berichten Sicherheitsforscher.
(Bild: Michael Traitov/Shutterstock.com)
Spam-Mails sind immer noch die Hauptschlupflöcher für Trojaner, um Computer zu infizieren. Das Problem ist, dass solche Mails nicht nur für das menschliche Auge immer glaubhafter werden: Mit etwas Vorarbeit verschicken Kriminelle solche Mails derzeit innerhalb von Firmennetzwerken, um eine Filterung und Quarantäne-Mechanismen zu umgehen.
Einem Bericht von Sicherheitsforschern von Trend Micro zufolge passiert das momentan gehäuft über gehackte Exchange Server. Dafür nutzen die Angreifer der von den Forschern identifizierten Squirrelwaffle-Gruppe die ProxyLogon- und ProxyShell-Lücken in Microsoft Exchange aus. Die beobachteten Attacken sollen zurzeit den Nahen Osten betreffen. In welchem Umfang die Angriffe stattfinden, ist zum gegenwärtigen Zeitpunkt nicht bekannt.
Als Insider durchschlüpfen
Sind die Attacken erfolgreich, sollen die Angreifer aber keine Malware abladen und sich vom gehackten Server auch nicht weiter in Netzwerken ausbreiten (Lateral movement). Mit dieser Strategie wollen sie Logging-Tools keinen verdächtigen Datenverkehr liefern, auf den Admins aufmerksam werden könnten. Vielmehr sollen sie gewissermaßen verdeckt die E-Mail-Transport-Server-Software zum internen Versand von Spam-Mails missbrauchen.
Durch das interne Versenden steigt den Forschern zufolge die Wahrscheinlichkeit, dass aus Sicherheitsgründen gesetzte Filter und Quarantäne-Regeln ins Leere laufen. Außerdem sehen von einem vermeintlich vertrauenswürdigen internen Kontakt stammende Mails glaubhafter aus.
Zusätzlich sollen die Angreifer in den Mails an bestehende Projekte anknüpfen, um die Glaubwürdigkeit weiter zu steigern. In Kombinationen mit dem internen Versand könnten so Mails mit einem gefährlichen Dateianhang zum Opfer durchkommen und es dazu bringen, etwa ein mit Makros präpariertes Excel-Dokument zu öffnen und so Schadcode auf Computer zu holen.
Sicherheitspatches seit Frühling verfügbar
Um den internen E-Mail-Versand mittels gehackter Exchange Server zu verhindern, sollten Admins sicherstellen, dass ihre Systeme auf dem aktuellen Stand sind. Sicherheitspatches gibt es seit März (ProxyLogon) und April 2021 (ProxyShell).
Erst vergangene Woche warnte das Notfall-Team des Bundesamts für Sicherheit in der Informationstechnik (BSI) CERT-Bund, dass in Deutschland noch tausende öffentlich erreichbare potenziell verwundbare Exchange Server in Betrieb sind.
(des)