Um ator de ameaças desconhecido está explorando falhas de segurança conhecidas no Microsoft Exchange Server para implantar um malware do tipo keylogger em ataques direcionados a entidades na África e no Oriente Médio.
A empresa russa de cibersegurança Positive Technologies disse que identificou mais de 30 vítimas abrangendo agências governamentais, bancos, empresas de TI e instituições de ensino.
O primeiro comprometimento registrado data de 2021.
"Esse keylogger estava coletando credenciais de conta em um arquivo acessível por um caminho especial da internet," a empresa disse em um relatório publicado na semana passada.
Os países alvo do conjunto de intrusões incluem Rússia, Emirados Árabes Unidos, Kuwait, Omã, Níger, Nigéria, Etiópia, Maurício, Jordânia e Líbano.
As cadeias de ataque começam com a exploração das falhas ProxyShell (
CVE-2021-34473
,
CVE-2021-34523
e
CVE-2021-31207
) que foram originalmente corrigidas pela Microsoft em maio de 2021.
A exploração bem-sucedida das vulnerabilidades pode permitir que um invasor contorne a autenticação, eleve seus privilégios e execute código remoto não autenticado.
A cadeia de exploração foi descoberta e publicada por Orange Tsai da DEVCORE Research Team.
A exploração do ProxyShell é seguida pela adição, pelos atores da ameaça, do keylogger à página principal do servidor ("logon.aspx"), além da injeção de código responsável por capturar as credenciais para um arquivo acessível da internet após clicar no botão de login.
A Positive Technologies disse que não pode atribuir os ataques a um ator ou grupo de ameaças conhecido nesta fase sem informações adicionais.
Além de atualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar possíveis sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn(), onde o keylogger é inserido.
"Se seu servidor foi comprometido, identifique os dados de conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers", disse a empresa.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...