Microsoft Exchange Szerverbe ágyazott keylogger

Egy ismeretlen fenyegető szereplő a Microsoft Exchange Server ismert biztonsági réseit kihasználva billentyűzetfigyelő programot telepített, amelynek célpontjai afrikai és közel-keleti szervezetek. A Positive Technologies orosz kiberbiztonsági cég több mint 30 áldozatot azonosított, köztük kormányzati ügynökségeket, bankokat, IT-cégeket és oktatási intézményeket. A kezdeti támadási kísérletek 2021-ig nyúlnak vissza, a keyloggert úgy tervezték, hogy egy interneten elérhető fájlba gyűjtse a fiókok hitelesítő adatait. Az érintett országok közé tartozik Oroszország, az Egyesült Arab Emírségek, Kuvait, Omán, Niger, Nigéria, Etiópia, Mauritius, Jordánia és Libanon.

A támadási lánc a ProxyShell sebezhetőségek (CVE-2021-34473, CVE-2021-34523 és CVE-2021-31207) kihasználásával kezdődik, amelyeket a Microsoft 2021 májusában foltozott be. A sikeres kihasználás lehetővé teszi a támadók számára a hitelesítés megkerülését, a jogosultságok növelését és távoli kód futtatását. A sebezhetőségek kihasználása után a támadók beültetik a keyloggert a kiszolgáló bejelentkezési oldalára, és kódot injektálnak a hitelesítő adatok rögzítéséhez. A Positive Technologies egyelőre nem tudja ezeket a támadásokat egy konkrét csoporthoz rendelni. A szervezeteknek azt tanácsolják, hogy frissítsék Exchange Server példányaikat, és keressék a veszélyeztetettség jeleit, különösen a bejelentkezési oldalon, ahová a keylogger be van helyezve. Ha veszélybe kerültek, azonosítaniuk és törölniük kell az ellopott fiókadatokat.

(forrás)