Bilinmeyen bir tehdit aktörü, Afrika ve Orta Doğu’daki varlıkları hedef alan saldırılarda keylogger kötü amaçlı yazılım dağıtmak için Microsoft Exchange Server’daki bilinen güvenlik açıklarından yararlanıyor.
Rus siber güvenlik firması Positive Technologies, devlet kurumları, bankalar, BT şirketleri ve eğitim kurumlarından oluşan 30’dan fazla kurban tespit ettiğini söyledi. İlk uzlaşma 2021 yılına dayanıyor.
Şirket, “Bu keylogger, hesap bilgilerini internetten özel bir yolla erişilebilen bir dosyada topluyordu” dedi. söz konusu Geçen hafta yayınlanan bir raporda.
Saldırı grubunun hedef aldığı ülkeler arasında Rusya, BAE, Kuveyt, Umman, Nijer, Nijerya, Etiyopya, Mauritius, Ürdün ve Lübnan yer alıyor.
Saldırı zincirleri, ilk olarak Mayıs 2021’de Microsoft tarafından yamalanan ProxyShell kusurlarının (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) kullanılmasıyla başlıyor.
Başarılı güvenlik açıklarından yararlanma bir saldırganın kimlik doğrulamayı atlamasına, ayrıcalıklarını yükseltmesine ve kimlik doğrulaması yapılmadan uzaktan kod yürütmesine olanak tanıyabilir. Sömürü zinciri şuydu: keşfedildi ve yayınlandı DEVCORE Araştırma Ekibinden Orange Tsai tarafından.
ProxyShell istismarını, tehdit aktörlerinin, oturum açma düğmesi tıklatıldığında internetten erişilebilen bir dosyaya kimlik bilgilerini yakalamaktan sorumlu kodun eklenmesine ek olarak, sunucu ana sayfasına (“logon.aspx”) keylogger’ı eklemesi takip eder.
Positive Technologies, bu aşamada ek bilgi olmadan saldırıları bilinen bir tehdit aktörüne veya grubuna atfedemeyeceğini söyledi.
Kuruluşların, Microsoft Exchange Server örneklerini en son sürüme güncellemenin yanı sıra, keylogger’ın yerleştirildiği clkLgn() işlevi de dahil olmak üzere Exchange Server’ın ana sayfasında potansiyel tehlike işaretlerini aramaları tavsiye edilir.
Şirket, “Sunucunuzun güvenliği ihlal edilmişse, çalınan hesap verilerini tanımlayın ve bu verilerin bilgisayar korsanları tarafından saklandığı dosyayı silin” dedi. “Bu dosyanın yolunu logon.aspx dosyasında bulabilirsiniz.”
