Falhas no MS Exchange Server Exploradas para Implementar Keylogger em Ataques Direcionados – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

Um ator de ameaças desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa de cibersegurança russa Positive Technologies disse que identificou mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições educacionais. A primeira violação data de 2021.

“Este keylogger estava coletando credenciais de contas em um arquivo acessível por um caminho especial na internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvo do ataque incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades poderia permitir que um invasor ignorasse a autenticação, elevasse seus privilégios e realizasse uma execução de código remota não autenticada. A cadeia de exploração foi descoberta e publicada pela Orange Tsai da equipe de pesquisa DEVCORE.

A exploração do ProxyShell é seguida pelos atores de ameaças adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar as credenciais em um arquivo acessível a partir da internet ao clicar no botão de login.

A Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaças conhecidos neste estágio sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais potenciais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers,” disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”

Você também pode gostar

Okta Alerta Sobre Ataques de Preenchimento de Credenciais Visando a Identidade do Cliente na Nuvem

Pesquisadores Alertam sobre Hackers Alinhados à China Atacando Países do Mar do Sul da China

Descoberta Vulnerabilidade no Popular Utilitário de Registro Linguístico Fluent Bit