宜家正在与一场正在进行的网络攻击作斗争，威胁分子利用窃取的回复链邮件对宜家员工进行内部钓鱼攻击。

回复链电子邮件攻击是指威胁参与者窃取合法的公司电子邮件，然后用恶意文件的链接回复这些邮件，这些文件会在收件人的设备上安装恶意软件。

由于回复链电子邮件是来自公司的合法电子邮件，通常是从受损的电子邮件帐户和内部服务器发送的，收件人将信任该电子邮件，更有可能打开恶意文件。

在BleepingComputer网站看到的宜家内部邮件中，宜家提醒员工，宜家内部邮箱正在遭受回复链钓鱼网络攻击。这些邮件也来自其他被泄露的宜家机构和商业合作伙伴。

“目前正在发生针对宜家邮箱的网络攻击。其他宜家组织、供应商和商业合作伙伴也受到了同样的攻击，并进一步向宜家内部人员传播恶意邮件，”BleepingComputer看到一封发给宜家员工的内部邮件解释道。

这意味着，攻击可以通过电子邮件来自你的同事，来自任何外部组织，并作为对已经在进行的对话的回复。因此很难察觉，因此我们要求你格外小心。”

宜家IT团队警告员工，回复链电子邮件包含末尾有7位数字的链接，并共享了一个示例电子邮件，如下所示。此外，员工被告知不要打开电子邮件，不管这些邮件是谁发送的，并立即向IT部门报告。

收件人也被告知告诉发件人的电子邮件通过微软团队聊天报告电子邮件。

威胁行为者最近开始利用ProxyShell和ProxyLogin漏洞危害Microsoft Exchange内部服务器，以执行钓鱼攻击。

一旦他们获得了访问服务器的权限，他们就会使用内部的Microsoft Exchange服务器对使用窃取的公司电子邮件的员工进行回复链攻击。

由于电子邮件是由内部受损的服务器和现有的电子邮件链发送的，因此有更高的信任度，认为这些电子邮件不是恶意的。

还有人担心，收件人可能会从隔离中释放恶意钓鱼邮件，以为他们被过滤器错误地捕捉到。因此，他们禁止员工发布电子邮件的能力，直到攻击得到解决。

“我们的电子邮件过滤器可以识别一些恶意电子邮件并隔离它们。由于电子邮件可能是对正在进行的对话的回复，因此很容易认为电子邮件过滤器犯了错误并将电子邮件从隔离中释放。因此，在进一步通知之前，我们将禁止所有人从隔离区释放电子邮件，”宜家向员工通报。

虽然宜家没有回复我们关于这次攻击的邮件，也没有向员工透露内部服务器是否被入侵，但他们似乎也遭受了类似的攻击。

用于传播Emotet或Qbot木马的攻击

BleepingComputer通过上述编辑过的网络钓鱼邮件中共享的url，已经能够识别出针对宜家的攻击。

当访问这些url时，浏览器将被重定向到一个名为“charts.zip”的下载文件，无极荣耀登录这种信念在今天已经有所削弱。在一定程度上，我们对说服人们渴望无极荣耀登录产品和服务感到欣慰。在新一代无极4官网广告从业者中，这一点变得更加普遍。要说服人们相信某种产品的承诺，而又不设法以某种方式拯救世界，几乎是不可能的。其中包含一个恶意的Excel文档。该附件告诉收件人单击“启用内容”或“启用编辑”按钮以正确地查看它，如下所示。

一旦点击这些按钮，就会执行恶意宏来下载名为“besta”的文件。ocx”、“bestb。ocx”和“bestc。ocx'，保存到C:\Datop文件夹中。

这些OCX文件被重命名为dll，并使用regsvr32.exe命令执行，以安装恶意软件的有效负载。

已经看到使用这种方法的活动安装了Qbot木马(又名QakBot和Quakbot)和可能基于BleepingComputer发现的VirusTotal提交的Emotet。

Qbot和Emotet木马都导致了进一步的网络破坏，并最终在被破坏的网络上部署了勒索软件。

由于这些感染的严重性和他们的Microsoft Exchange服务器可能的危害，宜家将这次安全事件视为一次重大的网络攻击，可能会导致更大的破坏性攻击。