宜家正在與一場(chǎng)進(jìn)行中的網(wǎng)絡(luò)攻擊作斗爭(zhēng)，攻擊者利用竊取的回復(fù)鏈郵件對(duì)宜家員工進(jìn)行內(nèi)部釣魚攻擊。回復(fù)鏈電子郵件攻擊（reply-chain email attack ）是指威脅行為者竊取合法的公司電子郵件，然后用嵌入惡意文件的鏈接回復(fù)郵件，這些文件會(huì)在收件人的設(shè)備上安裝惡意軟件。由于回復(fù)鏈電子郵件是來自公司的合法電子郵件，通常是從失陷的電子郵件帳戶和內(nèi)部服務(wù)器發(fā)送的，收件人將信任該電子郵件，更有可能打開惡意文件。這種攻擊雖然不是最新的手法，但危害極大，因?yàn)樗苯哟蚱屏耸芎φ叩膬?nèi)部信任鏈，用戶幾乎會(huì)絕對(duì)相信這類郵件。此前，已有安全研究人員注意到這類攻擊手法。前陣子FBI執(zhí)法郵箱被用來惡意發(fā)送大批量垃圾郵件，也是引發(fā)了對(duì)合法電子郵件的懷疑。的確，合法的郵件，也不見得可靠和安全，特別是帶有鏈接和附件的，用戶還真的需要火眼金晴。

　　宜家家居是來自瑞典的全球知名家具和家居零售商，互為和諧的產(chǎn)品系列在功能和風(fēng)格上可謂種類繁多。宜家家居官方網(wǎng)上商城全面上線，現(xiàn)已開放300+個(gè)服務(wù)城市！

　　宜家正在對(duì)抗一場(chǎng)進(jìn)行的網(wǎng)絡(luò)攻擊

　　在BleepingComputer網(wǎng)站看到的宜家內(nèi)部郵件中，宜家提醒員工，宜家內(nèi)部郵箱正在遭受回復(fù)鏈釣魚網(wǎng)絡(luò)攻擊。這些郵件也來自其他被泄露的宜家機(jī)構(gòu)和商業(yè)合作伙伴。

　　“目前正在發(fā)生針對(duì)宜家郵箱的網(wǎng)絡(luò)攻擊。其他宜家機(jī)構(gòu)、供應(yīng)商和商業(yè)合作伙伴也受到了同樣的攻擊，并進(jìn)一步向宜家內(nèi)部人員傳播惡意郵件，”BleepingComputer看到一封發(fā)給宜家員工的內(nèi)部郵件解釋道。

　　這意味著，攻擊可以通過電子郵件來自你的同事，來自任何外部組織，并作為對(duì)已經(jīng)在進(jìn)行的往來郵件的回復(fù)。因此很難察覺和判別，我們要求你格外小心。“

　　宜家IT團(tuán)隊(duì)警告員工，回復(fù)鏈電子郵件包含末尾有7位數(shù)字的鏈接，并共享了一個(gè)示例電子郵件，如下所示。此外，員工被告知不要打開電子郵件，不管這些郵件是誰發(fā)送的，并立即向IT部門報(bào)告。

　　收件人也被告知，發(fā)件人的電子郵件通過微軟團(tuán)隊(duì)聊天報(bào)告電子郵件。

　　威脅行為者最近開始利用ProxyShell和ProxyLogin漏洞攻擊Microsoft Exchange內(nèi)部服務(wù)器，以實(shí)施釣魚攻擊活動(dòng)。

　　一旦他們獲得了訪問服務(wù)器的權(quán)限，他們就會(huì)使用內(nèi)部的Microsoft Exchange服務(wù)器對(duì)使用竊取的公司電子郵件的員工進(jìn)行回復(fù)鏈攻擊。

　　由于電子郵件是通過內(nèi)部已失陷的服務(wù)器和現(xiàn)有的電子郵件鏈發(fā)送的，因此有更高的信任度，認(rèn)為這些電子郵件不是惡意的。

　　還有人擔(dān)心，收件人可能會(huì)從隔離中釋放惡意釣魚郵件，以為他們被過濾器錯(cuò)誤地捕捉到。因此，他們禁止員工釋放被隔離電子郵件的功能，直到攻擊得到解決。

　　”我們的電子郵件過濾器可以識(shí)別一些惡意電子郵件并隔離它們。由于電子郵件可能是對(duì)正在進(jìn)行的對(duì)話的回復(fù)，因此很容易認(rèn)為電子郵件過濾器犯了錯(cuò)誤并將電子郵件從隔離中釋放。因此，在進(jìn)一步通知之前，我們將禁止所有人從隔離區(qū)釋放電子郵件，“宜家向員工通報(bào)。

　　雖然宜家沒有回復(fù)BleepingComputer關(guān)于這次攻擊的郵件，也沒有向員工透露內(nèi)部服務(wù)器是否被入侵，但他們似乎遭受了這種攻擊。

　　用于傳播Emotet或Qbot木馬的攻擊

　　BleepingComputer通過上述編輯過的網(wǎng)絡(luò)釣魚郵件中共享的url，已經(jīng)能夠識(shí)別出針對(duì)宜家的攻擊。

　　當(dāng)訪問這些url時(shí)，瀏覽器將被重定向到一個(gè)名為”charts.zip“的下載文件，其中包含一個(gè)惡意的Excel文檔。該附件告訴收件人單擊”啟用內(nèi)容“或”啟用編輯“按鈕以正確地查看它，如下所示。

　　一旦點(diǎn)擊這些按鈕，就會(huì)執(zhí)行惡意宏來下載名為”besta“的文件。ocx”、“bestb。ocx”和“bestc。ocx‘，保存到C:\Datop文件夾中。

　　這些OCX文件被重命名為dll，并使用regsvr32.exe命令執(zhí)行，以安裝惡意軟件的有效負(fù)載。

　　已經(jīng)看到使用這種方法的活動(dòng)安裝了Qbot木馬（又名QakBot和Quakbot）和可能基于BleepingComputer發(fā)現(xiàn)的VirusTotal提交的Emotet。

　　Qbot和Emotet木馬都導(dǎo)致了進(jìn)一步的網(wǎng)絡(luò)失陷，并最終在被破壞的網(wǎng)絡(luò)上部署勒索軟件。

　　由于這類攻擊的嚴(yán)重性和他們的Microsoft Exchange服務(wù)器可能的危害，宜家將這次安全事件視為一次重大的網(wǎng)絡(luò)攻擊，可能會(huì)導(dǎo)致更大的破壞性攻擊。