Um ator desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio. A empresa de cibersegurança russa Positive Technologies afirmou ter identificado mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições educacionais. O primeiro comprometimento data de 2021. Os países alvo incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano. As cadeias de ataques começam com a exploração das falhas ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207), que foram originalmente corrigidas pela Microsoft em maio de 2021. A exploração bem-sucedida das vulnerabilidades pode permitir que um atacante passe pela autenticação, eleve seus privilégios e execute códigos remotamente. O ProxyShell foi descoberto e publicado por Orange Tsai, da equipe de pesquisa DEVCORE. A exploração do ProxyShell é seguida pelos atores maliciosos adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar um código responsável por capturar as credenciais em um arquivo acessível pela internet ao clicar no botão de login. A Positive Technologies afirmou que não pode atribuir os ataques a um ator ou grupo conhecido neste estágio sem informações adicionais. As organizações são instadas a atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente e a procurar possíveis sinais de comprometimento na página principal do servidor Exchange, incluindo a função clkLgn(), onde o keylogger é inserido. Se o servidor foi comprometido, é recomendado identificar os dados das contas que foram roubados e excluir o arquivo onde esses dados estão armazenados pelos hackers. O caminho para este arquivo pode ser encontrado no arquivo logon.aspx.