Неизвестный участник угрозы использует известные недостатки системы безопасности Microsoft Exchange Server для развертывания вредоносного ПО-кейлоггеру в атаках, нацеленных на организации в Африке и на Ближнем Востоке.
Российская компания по кибербезопасности Positive Technologies заявила, что выявила более 30 жертв, охватывающих правительственные учреждения, банки, ИТ-компании и образовательные учреждения. Первая в истории компрометация датируется 2021 годом.
"Этот кейлоггер собирал учетные данные учетной записи в файл, доступный по специальному пути из Интернета", - сказала компания в отчете, опубликованном на прошлой неделе.
Страны, на которые нацелен набор вторжений, включают Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикий, Иорданию и Ливан.
Цепочки атак начинаются с использования недостатков ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), которые первоначально были исправлены Microsoft в мае 2021 года.
Успешное использование уязвимостей может позволить злоумышленнику обойти аутентификацию, повысить свои привилегии и выполнить удаленное выполнение кода без проверки подлинности. Цепочка использования была обнаружена и опубликована Orange Tsai из исследовательской группы DEVCORE.
После использования прокси-оболочки злоумышленники добавляют кейлоггер на главную страницу сервера ("logon.aspx") в дополнение к внедрению кода, ответственного за сохранение учетных данных в файл, доступный из Интернета при нажатии кнопки входа.
Компания Positive Technologies заявила, что на данном этапе не может приписать атаки известному субъекту угрозы или группе без дополнительной информации.
Помимо обновления своих экземпляров Microsoft Exchange Server до последней версии, организациям настоятельно рекомендуется искать потенциальные признаки взлома на главной странице сервера Exchange, включая функцию clkLgn (), куда вставляется кейлоггер.
"Если ваш сервер был скомпрометирован, определите данные учетной записи, которые были украдены, и удалите файл, в котором хакеры хранят эти данные", - заявили в компании. "Вы можете найти путь к этому файлу в файле logon.aspx".
Российская компания по кибербезопасности Positive Technologies заявила, что выявила более 30 жертв, охватывающих правительственные учреждения, банки, ИТ-компании и образовательные учреждения. Первая в истории компрометация датируется 2021 годом.
"Этот кейлоггер собирал учетные данные учетной записи в файл, доступный по специальному пути из Интернета", - сказала компания в отчете, опубликованном на прошлой неделе.
Страны, на которые нацелен набор вторжений, включают Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикий, Иорданию и Ливан.
Цепочки атак начинаются с использования недостатков ProxyShell (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207), которые первоначально были исправлены Microsoft в мае 2021 года.
Успешное использование уязвимостей может позволить злоумышленнику обойти аутентификацию, повысить свои привилегии и выполнить удаленное выполнение кода без проверки подлинности. Цепочка использования была обнаружена и опубликована Orange Tsai из исследовательской группы DEVCORE.
После использования прокси-оболочки злоумышленники добавляют кейлоггер на главную страницу сервера ("logon.aspx") в дополнение к внедрению кода, ответственного за сохранение учетных данных в файл, доступный из Интернета при нажатии кнопки входа.
Компания Positive Technologies заявила, что на данном этапе не может приписать атаки известному субъекту угрозы или группе без дополнительной информации.
Помимо обновления своих экземпляров Microsoft Exchange Server до последней версии, организациям настоятельно рекомендуется искать потенциальные признаки взлома на главной странице сервера Exchange, включая функцию clkLgn (), куда вставляется кейлоггер.
"Если ваш сервер был скомпрометирован, определите данные учетной записи, которые были украдены, и удалите файл, в котором хакеры хранят эти данные", - заявили в компании. "Вы можете найти путь к этому файлу в файле logon.aspx".
