Um agente de ameaça desconhecido está a explorar falhas de segurança conhecidas no Microsoft Exchange Server para implementar um malware de keylogger em ataques direcionados a entidades em África e no Médio Oriente.
A empresa russa de cibersegurança Positive Technologies disse ter identificado mais de 30 vítimas, abrangendo agências governamentais, bancos, empresas de TI e instituições educacionais. O primeiro acordo remonta a 2021.
“Este keylogger estava coletando credenciais de contas em um arquivo acessível através de um caminho especial na Internet”, disse a empresa em relatório publicado na semana passada.
Os países alvo do conjunto de intrusão incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurícias, Jordânia e Líbano.
As cadeias de ataque começam com a exploração de falhas do ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207) que foram originalmente corrigidas pela Microsoft em maio de 2021. A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor ignore a autenticação, eleve seus privilégios e execute execução remota de código não autenticado. A cadeia de exploração foi descoberta e publicada por Orange Tsai da equipe de pesquisa DEVCORE.
A exploração do ProxyShell é seguida pelos agentes da ameaça adicionando o keylogger à página principal do servidor (“logon.aspx”), além de injetar o código responsável por capturar as credenciais em um arquivo acessível pela internet ao clicar no botão de login.
A Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaça conhecido nesta fase sem informações adicionais.
Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são incentivadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger está inserido. “Se o seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados são armazenados pelos hackers”, afirmou a empresa. “Você pode encontrar o caminho para este arquivo no arquivo logon.aspx.”
Fonte: https://thehackernews.com/2024/05/ms-exchange-server-flaws-exploited-to.html
Comentários