Segundo o BoletimSec, um actor de ameaça desconhecido está a explorar falhas conhecidas no Microsoft Exchange Server para implantar um malware keylogger em ataques direcionados a entidades em África e no Oriente Médio. De acordo com os pesquisadores, mais de 30 vítimas foram identificadas, incluindo agências governamentais, bancos, empresas de TI e instituições educacionais.
O primeiro comprometimento registado ocorreu em 2021. A exploração bem-sucedida dessas vulnerabilidades pode permitir que um atacante ignore a autenticação, eleve seus privilégios e execute código remoto não autenticado. Após a exploração das falhas ProxyShell, os actores de ameaça adicionam o keylogger à página principal do servidor (“logon.aspx”), além de injectar código responsável por capturar credenciais em um arquivo acessível pela internet ao clicar no botão de login.
De acordo com a BoletimSec, a Positive Technologies afirmou que, sem informações adicionais, não pode atribuir os ataques a um actor ou grupo de ameaça conhecido. Além de actualizar suas instâncias do Microsoft Exchange Server para a versão mais recente, as organizações são instadas a procurar sinais de comprometimento na página principal do Exchange Server, incluindo a função clkLgn() onde o keylogger é inserido. Se um servidor tiver sido comprometido, é importante identificar os dados de conta roubados e excluir o arquivo onde esses dados estão armazenados pelos atacantes.
Para mais informações, aceda: https://boletimsec.com.br/microsoft-exchange-server-comprometido-em-ataques-direcionados/
Fonte: INTC