CRITICAL: új email hamisítás - valóstartalmú adathalász levél virusos? linkre - mindig exchange-hez van köze, pl onnan jön, vagy onnan idéz

Security-all

Üdv,

újfajta adathalász emailek jönnek tömegével

a levéltartalma egy korábbi valós email-t idéz, vagy válaszol rá, a felhasználó postafiókjából, tehát az már náluk van

 

Mivel valós tartalom is van az email-ben, ebbe sokan bele fognak esni.

 

Olyan mintha az exchangeket elvitték volna valamikor tavaly nyáron vagy azóta?

Tőlem független feladó-címzettekkel is előfordul.

friiz

 

From: valósnév valós email
Sent: Thursday, March 31, 2022 2:51 PM
To: valósnév
Subject: Fwd: Dens****

Szia Gábor!
Továbbítom a kéretlen emailt amit ma kaptam. A levél előzményei egy valós levelezésből lettek kimásolva.
XY is kapott ma már 2 ilyet, más feladóval, más előzménnyel.
Üdv:
XY


-------- Továbbított üzenet -------- 
Tárgy:     Re: Dens***
Dátum:     Thu, 31 Mar 2022 01:20:42 -0800
Feladó:     Valós név <JR.WHALEN@onlinebikequote.co.uk>

Címzett:     hibásnév(magyarékezetekrosszul) <valos@email>


Jó nap ott,

Remélem jól vagy. Azt akartam tájékoztatni, hogy megadtam az adatokat az Ön referenciájára. Kérjük, mondja el, ha bármilyen kérdése van, és az alábbi weboldali linkben kapja meg.


https://vandrájv/download?cid=244F01241C7A022B&resid=244F01241C7A022B%21112&authkey=ALGyntEPPnAY8dE

Fájljelszó: E6898
Kedves Tamás,
szerencsére Attila jobban van és megbeszéltük a listát. A megoldást legkésbb augusztus 10-ig szállítjuk. Ma én is visszatértem a szabadságról, ha bármiben segíthetek, keressetek.
Üdvözlettel,
valósnév
 

  • 1003 megtekintés

( arpi_esp v | 2022. 03. 31., cs – 16:35 )

nalunk is kapjak 3 napja, napi 5-10db jon... az exch-t nem hiszem hogy felnyomtak (monitorozzuk a Mo-n kivuli belepeseket es a gyanus kimeno forgalmat is), es a level amit ideznek annak van egy taiwani cimzettje is, es taiwanbol kuldik ezeket, igy az a gyanum hogy az a cimzett fiokjabol loptak a levelet es annak a tobbi cimzettjere/feladojara kuldenek.

( mauzi v | 2022. 03. 31., cs – 17:18 )

Subscribe. Ma nekem is mutattak ilyet.

( MGy v | 2022. 03. 31., cs – 18:44 )

Szinén jönnek ugyanerre a sémára és partnerek is jelezték, hogy jön olyan is amibe olyan levelet ágyaztak amit mi is megkaptunk.

Szerintem egy partnerünket nyomhatták fel és onnan vannak a levelek és a címek. A többi sima adathalászat.
Ha elég sokat össze tudok szedni belőle remélem lesz belőle egy közös rész.

( nice | 2022. 03. 31., cs – 20:18 )

Sziasztok!

Nálunk is jönnek. Úgy veszem ki, a közműszolgáltatók különösen érintettek. A titkosított ZIP jelszava mindig E6898 és egy sausluqtoi.xls nevű vírusos fájl van benne (https://www.virustotal.com/gui/file/5f0324a64b3920dcd23341dd2409fd1bb86…). Három levelet loptak el, amelyek közül kettő tavaly őszi, egy viszont 2018 nyári. Az az érdekes, hogy tavaly év elején migráltuk a levelezőszervert, és a migrálás közben eléggé megváltozott a levelek kódolása. A támadók által küldött levél forrásából tisztán látszik, hogy a 2018-as levélből ők még a régi levelezőszerveren lévő példányt lopták el, ami annyiban is különbözik a másik két levéltől, hogy nem szerepelnek benne azokkal közös e-mail címek, tehát valószínűleg nem egy ütemben történt a levelek ellopása. A levelezőszerverünk egyébként nem Exchange, a kliensek viszont Outlookok, ugyanakkor a levelezőszerver cseréjekor klienseket is cseréltünk, tehát a 2018-as levelet a mi Outlookjainkból sem lophatták ki. A levelezőszerverek feltörése ellen szól az is, hogy bár a leveleket megszerezték, de a levelezőszervereket, ahonnan azok származnak, nem használják fel a levelek kiküldésére, pedig úgy lehetne igazán félrevezető. Ehelyett a levelek mindig a FirstByte nevű orosz hosting-cégtől jönnek. Két levél egyenesen Moszvából érkezett, egy viszont a frankfurti adatközpontjukból.

Én is azt tartanám valószínűnek, hogy a levelezőpartnerektől (biztosan nem csak egy áldozat van, de a támadó az azonos jelszóból kiindulva ugyanaz lehet) lopták el legalább a levelek egy részét (egy jól ismert magyar IT biztonsági / auditor cég is érintett lehet), vagy akár egy útba eső feltört routeren hallgatózva vagy más man-in-the middle attack technikával kapták el a leveleket SMTP küldés közben. Ez utóbbi esetben akár éveken keresztül hallgatózhattak (mivel a levelek 2018 nyara és 2021 ősze közöttiek). Bele sem merek gondolni, hogy mi van, ha mondjuk a BIX környékén kompromittálódott valami...

( VincentV | 2022. 03. 31., cs – 20:48 )

Nem lehetséges, hogy a legegyszerűbb lehetőségről beszélünk? Azaz: sima bruteforce imap/pop3 fiók "feltörésből" származnak ezek a levelek, csak eddig ilyen esetben smtp auth-ra használták főleg az így megtalált accountot (ugyanazon hoston, vagy az mx-en spameltek vele, ha találtak smtp szolgáltatást hozzá). Most szintet léptek, és használják már a postafiókok tartalmát is.

De hát éppen azt mondom, hogy magukat a feltört(?) levelezőszervereket most nem is használják, csak a róluk lelopott(?) leveleket. Brute force-szal nem törhették fel a mi postafiókjainkat, mert akkor azok zárolódtak volna. Ráadásul az internet felől elérhető IMAP/POP3 szolgáltatásunk sincs, és az SMTP szerverünk is egy nem autentikáló SMTP gateway mögött van.

De a végén te is írtad azt a lehetőséget, hogy nem töletek lopták el. Ebben az esetben amúgy még azt sem tudhatod, hogy anno spameltek e vele vagy sem (mondjuk mindegy is). Szóval jött a bot (nem hozzátok), bejutott (gyenge jelszó, pwned db-ben levő jelszó, stb..), a fiók tartalmát és az accountot küldte a gazdájának, az meg eladta vagy akkor vagy most, opcionálisan akkor még spameltek is vele. Ma meg rájött valami élelmes, hogy bár az account már nem működik (spamelni nem tud vele), de az egyéb régi adatok másra ettől még használhatóak lehetnek.

Persze nem állítom, hogy az egyéb fent vázolt lehetőségek elvethetőek lennének, mondjuk hogy ez csak egy tipp a részemről (viszont talán ez a legegyszerűbb magyarázat).

Bocs, nem akartam magas lóról beszélni, eleve nem is értek semmihez :-) Egyelőre csak remélni tudom, hogy nem a szerverünkről lopták ki a leveleket, és nagyon aggaszt, hogy valaki ilyen sok magyar postafiók tartalmához (köztük viszonylag komoly emberek és helyek adataihoz) hozzáfért. Ha kiderülne, hogy ez az egész nem random megvásárolt levelekre épülő széleskörű támadás, hanem tudatosan van évek óta úgy előkészítve és megtervezve, hogy a magyar közműszolgáltatók ellen irányuljon, az még jobban aggasztana.

( szilard_ v | 2022. 03. 31., cs – 21:27 )

Jönnek, jönnek. Onedrivre-ra mutató linkek, de gmail fiókomba is érkezett kettő, de oda jelszavazott pdf-et küldtek.
Van benne több éves levére is "válaszok".

( gyuri23 | 2022. 03. 31., cs – 22:01 )

Én is fogtam már párat :(

A tömegek sohasem szomjúhozták az igazságot. A nekik nem tetsző bizonyságok elől elfordulnak és inkább a tévedést istenítik, ha ez őket elkápráztatja. Aki illúzióba ringatja őket, úr lesz fölöttük, de áldozatuk az, aki megpróbálja őket kiábrándítani.

( uid_6201 v | 2022. 03. 31., cs – 23:46 )

Ide kapcsolódik: https://en.wikipedia.org/wiki/2021_Microsoft_Exchange_Server_data_breach
Nem kell hogy tőled menjen ki, elég ha a levelezőpartnered infrastruktúrája MS Exchange szerveren volt.

Másik kérdés: patch ugyan kijött x idő múlva, viszont hány helyen lett csak újabb több hónapos csúszással feltéve (+reboot?). Addig azt loptak, amit akartak. Most meg felhasználják.

Meg szabad kérdezni, hogy ezt honnan tudod? Sikerült a levelezőszererünkben visszakeresni az összes eredeti levelet, amit "sablonként" felhasználtak a támadók, és kiszedtem belőlük az összes feladó/címzett email-címet. Midegyik levél kapcsán találtam MS Exchange szálat, de úgy látom, mintha az egyik esetben nem helyben futtatot Exhange-ről lenne szó, hanem a Microsoft O365 szolgáltatásáról (https://login.microsoftonline.com). Megpróbálok utánajárna, hogy használnak-e on-site Exchage-et is, de ha nem, az nem azt jelenti, hogy az O365 is áldozatul esett?

JAV.: MINDEN levél esetében van helyi Exchange-dzsel levelező partner, tehát jelenleg semmi nem bizonyítja az O365 sérülékenységét.

Ez tavaly a COVID árnyékában nagy port kavart IT biztonsági szakemberek körében.
Rendszer feltöréseknél egyébként nem csak az a probléma, hogy tömegével kirántják a levelet, hanem hogy jelszó népszerűségi adatbázis építéshez kapnak inputot.
https://nordpass.com/most-common-passwords-list/
Azaz tudják, hogy emberi okokból Magyarországon például a "Marcsi12" 8 karakteres jelszó a népszerű, akkor x ezer postafiókra rápróbálva már lehet palimadár.
És el is jutottunk oda, miért támadják botnetek jelszavakkal a szervereinket. Nem kipörgetnek, hanem jelszóadatbázisból a népszerűeket + apró módosítottjait rápróbálják a userekre.

regebben egyszer mikor sok jelszoprobalkozas volt, kivancsisagbol elkezdtem naplozni a jelszavakat is hogy lassam mivel probalkoznak. azt tapasztaltam hogy ugyanarrol az ip cimrol pl. pistike fiokba a Pistike777 jelszoval probalnak belepni naponta legalabb 100x. nem ertem az algoritmust.

persze azota fejlodhettek.

most azt csinalom, hogy a logbol kiveszem az ip cimet, a whoisbol megnezem a tartomanyt, es ha a geoip szerint nem HU tartomany akkor megy a tuzfalba permanensen rejectre.

eddig 1x volt belole problema, egy digital oceanos ip cimmel, azt az ip cimet felvettem a tuzfalba acceptre

neked aztan fura humorod van...