Nepoznati haker iskorištava poznate sigurnosne propuste u Microsoft Exchange Server kako bi implementirao keylogger malver u napadima usmjerenim na entitete u Africi i na Bliskom istoku.
Ruska firma za cyber sigurnost Positive Technologies saopštila je da je identifikovala preko 30 žrtava među vladinim agencijama, bankama, IT kompanijama i obrazovnim institucijama. Prvi kompromis datira iz 2021.
“Ovaj keylogger je prikupljao akreditive računa u datoteku kojoj se može pristupiti putem posebne putanje sa interneta”, navodi kompanija.
Zemlje koje su na meti skupa upada uključuju Rusiju, UAE, Kuvajt, Oman, Niger, Nigeriju, Etiopiju, Mauricijus, Jordan i Liban.
Lanci napada počinju iskorištavanjem mana ProxyShell-a (CVE-2021-34473, CVE-2021-34523 i CVE-2021-31207) koje je Microsoft prvobitno zakrpio u maju 2021.
Uspješno iskorištavanje ranjivosti moglo bi omogućiti napadaču da zaobiđe autentifikaciju, podigne svoje privilegije i izvrši neautorizirano, udaljeno izvršavanje koda. Lanac eksploatacije otkrio je i objavio Orange Tsai iz DEVCORE istraživačkog tima.
Eksploataciju ProxyShell-a prati hakeri koji dodaju keylogger na glavnu stranicu servera (“logon.aspx”), pored ubacivanja koda odgovornog za hvatanje akreditiva u fajl koji je dostupan sa interneta nakon klika na dugme za prijavu.
Positive Technologies je saopštio da u ovoj fazi ne može pripisati napade poznatom pretnji ili grupi bez dodatnih informacija.
Pored ažuriranja svojih instanci Microsoft Exchange Server na najnoviju verziju, organizacije se pozivaju da potraže potencijalne znakove kompromisa na glavnoj stranici Exchange Server, uključujući funkciju clkLgn() gdje je ubačen keylogger.
“Ako je vaš server kompromitovan, identifikujte podatke o nalogu koji su ukradeni i izbrišite datoteku u kojoj su ti podaci pohranjeni od strane hakera”, poručili su iz kompanije. “Možete pronaći put do ove datoteke u datoteci logon.aspx.”
Izvor:The Hacker News
