值得注意的是，这一钓鱼运动的电子邮件发送作为答复以前发送的消息，由于这些似乎是合法的。

Certitude是一家总部位于维也纳的咨询公司，专门从事通信技术风险和信息管理，该公司的IT安全研究人员表示，威胁行为者正在利用未打补丁的Microsoft Exchange服务器向不知情的客户发送钓鱼邮件。

这是又一个未打补丁的Exchange server被恶意利用的活动。2021年8月，发现攻击者使用ProxyShell攻击未打补丁的Exchange服务器——2021年9月，Conti勒索软件子公司利用ProxyShell攻击未打补丁的Exchange服务器。

在一篇博客文章中，Certitude的彼得·瓦格纳(Peter Wagner)透露，该公司在2021年11月初披露，该公司收到了向其客户的电子邮件账户发送含有可疑url的钓鱼邮件的信息。

这些电子邮件是作为对以前发送的消息的回复发送的，因此这些看起来是合法的。电子邮件标题表明，这些内容来自客户的Exchange，而不是来自外部来源的欺骗。

进一步的调查显示，几个月来没有收到任何更新并包含多个漏洞的本地交换服务器是这次行动的目标。

这些漏洞包括ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207)和ProxyLogon (CVE-2021-26855)。然而，研究人员没有在Exchange服务器上发现恶意软件。

计划如何运作?

根据Certitude分析的IIS日志，骗子使用专门制作的服务器端请求伪造(SSRF)请求来利用集中在Exchange Web服务API端点的CVE-2021-26855。这允许骗子在合法用户的伪装下进行未经授权的行为。

研究人员还注意到，攻击者在Exchange Logs中创建的所有电子邮件的ItemClass都被设置为IPM.Blabla。当研究人员在Outlook中过滤这些邮件时，他们意识到这对那些收到可疑邮件的邮箱有效。

然而，研究人员指出，他们在受影响用户的“发送”文件夹中没有发现这些邮件。以下是符合正则表达式模式的url示例([a-z]+\.[a-z0-9]+\.com\/[a-z]+\/[a-z]+-[0-9]+) -示例:[sdf.wwkwe.com/tatamua/uzaro-3381926]

后来发现，受到类似攻击影响的组织是一场名为Squirrelwaffle的攻击活动的受害者，这是一场旨在传递Qakbot、Cobalt Strike的垃圾邮件活动。

尽管如此，认证研究团队建议用户在短周期内更新所有应用程序，并及时打补丁。

(来源：HACKREAD)