Um agente desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio. A empresa de segurança cibernética russa Positive Technologies disse ter identificado mais de 30 vítimas, abrangendo agências governamentais, bancos, empresas de TI e instituições educacionais. O comprometimento mais antigo remonta a 2021. Países alvo do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano. Os ataques começam com a exploração das falhas de ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207). O uso bem-sucedido das vulnerabilidades pode permitir que um invasor ignore a autenticação, eleve seus privilégios e execute códigos remotamente não autenticados. A exploração de ProxyShell foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE. Após a exploração de ProxyShell, os atores ameaçadores adicionam o keylogger à página principal do servidor (“logon.aspx”) e injetam códigos responsáveis por capturar credenciais em um arquivo acessível pela internet ao clicar no botão de login. A Positive Technologies disse não poder atribuir os ataques a um ator ou grupo conhecido nesta fase sem informações adicionais. Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn(), onde o keylogger é inserido. Se o servidor foi comprometido, é recomendado identificar os dados da conta que foram roubados e excluir o arquivo onde esses dados estão armazenados pelos hackers. O caminho para este arquivo pode ser encontrado no arquivo logon.aspx.