Sophos发表最新文章，介绍近期发生事件，Squirrelwaffle恶意软体载入程式被与ProxyLogon和ProxyShell一起使用，攻击未安装修补程式的Microsoft Exchange伺服器，并将恶意回覆??入员工现有的电子邮件讨论串，藉此将Squirrelwaffle寄送给内部和外部的大量收件者。

根据研究人员发现，在进行恶意垃圾邮件活动的同时，同一台有弱点的伺服器也被用於金融诈骗攻击，透过从被盗电子邮件讨论串中获得的资讯和「误植域名」手法，说服员工将合法的客户交易转给攻击者。

研究作者之一Sophos Rapid Response分析师Matthew Everts表示：「在锁定有弱点的Exchange伺服器的典型Squirrelwaffle攻击中，当防御人员安装修补程式来侦测和修补入侵行为後，攻击就被挡下来了，因为攻击者将无法透过伺服器发送电子邮件。然而，在Sophos Rapid Response调查的事件中，这种补救措施并无法阻止金融诈骗攻击，因为攻击者会从受害者的Exchange伺服器汇出有关客户付款的电子邮件讨论串。这是一个很好的警惕，那就是单是安装修补程式不一定就能取得足够的保护。例如，对於有弱点的Exchange伺服器，您还需要检查攻击者是否留下Web Shell以继续取得访问权限。在面对复杂的社交工程攻击（例如电子邮件讨论串被绑架）时，教育员工应该注意什麽以及如何回报，对於能否阻挡攻击非常重要。」

除这项新研究外，Sophos还发布了一份《Squirrelwaffle事件指南》，提供逐步指引来调查、分析、应对和该热门恶意软体载入程式有关的这一类事件。这个恶意软体会以垃圾邮件的恶意Office文件附件出现，并为攻击者提供进入受害者环境的初始立足点，以及成为其他恶意软体传递和感染系统的管道。

该指南是Sophos Rapid Response团队一系列事件指南的一部分，目的是帮助事件回应人员和安全营运团队找出和修复经常可见的威胁工具、技术和行为。