Um ator de ameaças desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware do tipo keylogger em ataques direcionados a entidades na África e no Oriente Médio.
A empresa russa de cibersegurança Positive Technologies disse que identificou mais de 30 vítimas abrangendo agências governamentais, bancos, empresas de TI e instituições de ensino.
O primeiro comprometimento registrado data de 2021.
"Esse keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial da internet," a empresa disse em um relatório publicado na semana passada.
Os países alvo do conjunto de intrusões incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.
As cadeias de ataque começam com a exploração das falhas ProxyShell (
CVE-2021-34473
,
CVE-2021-34523
e
CVE-2021-31207
) que foram originalmente corrigidas pela Microsoft em maio de 2021.
A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor contorne a autenticação, eleve seus privilégios e execute código remoto não autenticado.
A cadeia de exploração foi descoberta e publicada por Orange Tsai da DEVCORE Research Team.
A exploração do ProxyShell é seguida pela adição, pelos atores da ameaça, do keylogger à página principal do servidor ("logon.aspx"), além da injeção de código responsável por capturar as credenciais para um arquivo acessível da internet após clicar no botão de login.
A Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaças conhecido nesta fase sem informações adicionais.
Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn(), onde o keylogger é inserido.
"Se seu servidor foi comprometido, identifique os dados de conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers", disse a empresa.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...