Un actor de amenazas desconocido está explotando fallas de seguridad conocidas en Microsoft Exchange Server para implementar un malware registrador de teclas en ataques dirigidos a entidades en África y Medio Oriente.
La empresa rusa de ciberseguridad Positive Technologies dijo que identificó a más de 30 víctimas que abarcaban agencias gubernamentales, bancos, empresas de TI e instituciones educativas. El primer compromiso se remonta a 2021.
«Este keylogger recopilaba las credenciales de la cuenta en un archivo accesible a través de una ruta especial desde Internet», dijo la compañía en un informe publicado la semana pasada.
Los países objetivo del conjunto de intrusiones incluyen Rusia, los Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y el Líbano.
Las cadenas de ataques comienzan con la explotación de fallas de ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) que Microsoft parcheó originalmente en mayo de 2021.
La explotación exitosa de las vulnerabilidades podría permitir a un atacante eludir la autenticación, elevar sus privilegios y llevar a cabo la ejecución remota de código no autenticado. La cadena de explotación fue descubierta y publicada por Orange Tsai del equipo de investigación DEVCORE.
A la explotación de ProxyShell le siguen los actores de amenazas que agregan el registrador de teclas a la página principal del servidor («logon.aspx»), además de inyectar el código responsable de capturar las credenciales en un archivo accesible desde Internet al hacer clic en el botón de inicio de sesión.
Positive Technologies dijo que no puede atribuir los ataques a un actor o grupo de amenazas conocido en esta etapa sin información adicional.
Además de actualizar sus instancias de Microsoft Exchange Server a la última versión, se insta a las organizaciones a buscar posibles signos de compromiso en la página principal de Exchange Server, incluida la función clkLgn() donde se inserta el keylogger.
«Si su servidor ha sido comprometido, identifique los datos de la cuenta que han sido robados y elimine el archivo donde los piratas informáticos almacenan estos datos», dijo la compañía. «Puede encontrar la ruta a este archivo en el archivo logon.aspx».
Fuente y redacción: thehackernews.com
