Você está visualizando atualmente MS Exchange Server Falhas Exploradas para Implementar Keylogger em Ataques Direcionados

MS Exchange Server Falhas Exploradas para Implementar Keylogger em Ataques Direcionados

Um agente desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades na África e no Oriente Médio.

A empresa russa de cibersegurança Positive Technologies disse ter identificado mais de 30 vítimas, incluindo agências governamentais, bancos, empresas de TI e instituições de ensino. A primeira comprometimento remonta a 2021.

“Esse keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial da internet”, disse a empresa em um relatório publicado na semana passada.

Os países alvos dessa intrusão incluem Rússia, EAU, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.

As cadeias de ataque começam com a exploração das falhas do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram corrigidas pela Microsoft em maio de 2021.

A exploração bem-sucedida das vulnerabilidades poderia permitir que um atacante burlasse a autenticação, elevasse seus privilégios e realizasse execução remota de código não autenticada. A cadeia de exploração foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE.

A exploração do ProxyShell é seguida pelos atores de ameaças adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar código responsável por capturar as credenciais em um arquivo acessível a partir da internet ao clicar no botão de entrar.

A Positive Technologies disse que não pode atribuir os ataques a um agente ou grupo de ameaças conhecido neste momento sem informações adicionais.

Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido.

“Se seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers,” disse a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”