Vermehrt Phishing mit abgegriffenen E-Mails, möglicherweise Zusammenhang mit Exchange-Vulns

Moin,

wir beobachten auf unseren Spamfiltern seit 2-3 Tragen ein deutlich gestiegenes Volumen an Spam/Phishing, wo offenbar vor kurzem abgegriffene E-Mail-Inhalte benutzt werden, um die Mails seriöser wirken zu lassen.
Gemeinsam ist, dass die betroffenen Korrespondenten auf mindestens einer Seite einen Exchange-Server stehen haben. Hier gibt es möglicherweise einen Zusammenhang mit den zuletzt gemeldeten Sicherheitslücken CVE-2023-21529, CVE-2023-21706, CVE-2023-21707, CVE-2023-21710.

Alle derartigen E-Mails tragen keine gefälschten Absender sondern kommen von offenbar explizit dafür registrierten Domains, die auf den ersten Blick unverdächtig aussehen. Die E-Mails selbst enthalten keine Anhänge und nur einen kurzen unverdächtigen Text ohne Links. Dadurch sind sie wirklich schwer automatisiert zu filtern, bisher greifen unsere Filter über andere "Umstände", auf die ich nicht öffentlich im Detail eingehen will.

Sinn der E-Mails soll vermutlich sein, dass man eine Kommunikation in Gang bringt und in deren Verlauf dann Malware untergeschoben bekommt oder Geld irgendwohin schicken soll.
Der Grund warum das jetzt aktuell deutlich verstärkt auftritt liegt vermutlich darin, dass jetzt alle (jaja, ich weiß) Exchange-Server gegen diese Sicherheitslücke gepatched werden und die kopierten Mailinhalte nicht zu alt sein dürfen, um noch unverdächtig zu erscheinen.

In jedem Fall sollte man momentan besonders wachsam bei sowas sein, auch wenn man selbst keinen Exchange-Server betreibt, denn die E-Mail könnte am anderen Ende abegriffen worden sein.