黑客劫持未打补丁的Exchange服务器上的电子邮件回复链，传播恶意软件

一个新的电子邮件钓鱼活动被发现，利用会话劫持策略，通过使用未打补丁且公开暴露的Microsoft Exchange服务器，将窃取IcedID信息的恶意软件发送到受感染的机器上。

“这些电子邮件使用了会话劫持（也称为线程劫持）的社会工程技术，”以色列公司Intezer在与《黑客新闻》分享的一份报告中说。“对之前被盗电子邮件的伪造回复被用来说服收件人打开附件。这一点值得注意，因为它增加了钓鱼电子邮件的可信度，并可能导致高感染率。”

最新一波袭击发生在2022年3月中旬，据称目标是能源、医疗、法律和制药行业的组织。

IcedID，又名BokBot，与TrickBot和Emotet一样，是一种银行特洛伊木马，已演变为更复杂威胁的入口点，包括人工操作的勒索软件和Cobalt Strike敌手模拟工具。

它能够连接到远程服务器，下载下一阶段的植入物和工具，使攻击者能够执行后续活动，并在受影响的网络上横向移动，以分发额外的恶意软件。

在2021年6月，企业安全公司DeQuoPoT披露了一种在网络犯罪场景中不断发展的策略，其中初始访问经纪人通过第一阶段恶意软件有效载荷（如ICEDE）部署渗透Egregor、迷宫和ReaveRunSuffe有效载荷来观察渗透目标网络。

虽然早期的IcedID活动利用网站联系表单向组织发送恶意软件链接，但当前版本的攻击针对易受攻击的Microsoft Exchange服务器，从被劫持的帐户发送诱惑电子邮件，这表明社会工程计划的进一步演变。

研究人员Joakim Kennedy和Ryan Robinson说：“有效载荷也从使用Office文档转变为使用ISO文件和Windows LNK文件以及DLL文件”。“使用ISO文件允许威胁参与者绕过Web控件的标记，从而在不向用户发出警告的情况下执行恶意软件。”

其想法是，通过使用受损个人的电子邮件地址，将欺诈性回复发送到已存在的、从受害者帐户中盗取的电子邮件线程，使钓鱼电子邮件看起来更合法。

研究人员总结道：“会话劫持是一种强大的社会工程技术，可以提高网络钓鱼尝试的成功率”。“通过使用这种方法，电子邮件看起来更合法，可以通过正常渠道传输，也可以包括安全产品。”