Niet -geïdentificeerde dreigingsactoren zijn waargenomen gericht op publiekelijk blootgestelde Microsoft Exchange -servers om kwaadaardige code te injecteren in de inlogpagina’s die hun referenties oogsten.
Positieve technologieën, in een nieuwe analyse die vorige week werd gepubliceerd, zeiden dat het twee verschillende soorten keylogger -code identificeerde die in JavaScript zijn geschreven op de Outlook -inlogpagina –
- Degenen die verzamelde gegevens opslaan naar een lokaal bestand dat toegankelijk is via internet
- Degenen die de verzamelde gegevens onmiddellijk naar een externe server verzenden
De Russische leverancier van cybersecurity zei dat de aanvallen gericht zijn op 65 slachtoffers in 26 landen wereldwijd, en markeert een voortzetting van een campagne die voor het eerst werd gedocumenteerd in mei 2024 als targeting -entiteiten in Afrika en het Midden -Oosten.
Op dat moment zei het bedrijf dat het niet minder dan 30 slachtoffers had ontdekt over overheidsinstanties, banken, IT -bedrijven en onderwijsinstellingen, met bewijs van het eerste compromis daterend uit 2021.
De aanvalsketens omvatten het benutten van bekende fouten in Microsoft Exchange Server (bijv. Proxyshell) om keylogger -code in de inlogpagina in te voegen. Het is momenteel niet bekend wie achter deze aanvallen zit.
Sommige van de kwetsbaarheden bewapend worden hieronder vermeld –
- CVE-2014-4078-IIS Beveiligingsfunctie Bypass Kwetsbaarheid
- CVE-2020-0796-Windows SMBV3-client/server Remote Code Uitvoering Kwetsbaarheid
- CVE-2021-26855, CVE-201021-26857, CVE-2021-26858 en CVE-2021-27065-Microsoft Exchange Server Remote Code Uitvoeringskwetsbaarheid (Proxylogon)
- CVE-2021-31206-Kwetsbaarheid van Microsoft Exchange Server Remote Code-uitvoering
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523-Microsoft Exchange Server Beveiligingsfunctie Bypass-kwetsbaarheid (ProxyShell)
“Malicious JavaScript -code leest en verwerkt de gegevens van het authenticatieformulier en verzendt deze vervolgens via een XHR -verzoek naar een specifieke pagina op de gecompromitteerde Exchange Server,” zeiden beveiligingsonderzoekers Klimentiy Galkin en Maxim Suslov.
“De broncode van de doelpagina bevat een handlerfunctie die het inkomende verzoek leest en de gegevens naar een bestand op de server schrijft.”
Het bestand met de gestolen gegevens is toegankelijk via een extern netwerk. Selecteer varianten met de lokale keylogging-mogelijkheden gevonden om ook gebruikerscookies, gebruikersagentreeksen en de tijdstempel te verzamelen.
Een voordeel van deze benadering is dat de kansen op detectie bijna niets zijn, omdat er geen uitgaande verkeer is om de informatie te verzenden.
De tweede variant die wordt gedetecteerd door positieve technologieën, daarentegen, gebruikt een telegram -bot als een exfiltratiepunt via XHR GET -aanvragen met de gecodeerde login en wachtwoord opgeslagen in de Apikey en Authtoken -headers, respectievelijk.
Een tweede methode omvat het gebruik van een DNS -tunnel (Domain Name System (DNS) in combinatie met een HTTPS -postverzoek om de gebruikersreferenties te verzenden en voorbij de verdediging van een organisatie te sluipen.
Tweeëntwintig van de gecompromitteerde servers zijn gevonden in overheidsorganisaties, gevolgd door infecties in de IT-, industriële en logistieke bedrijven. Vietnam, Rusland, Taiwan, China, Pakistan, Libanon, Australië, Zambia, Nederland en Turkije behoren tot de top 10 doelen.
“Een groot aantal Microsoft Exchange -servers die toegankelijk zijn van internet blijven kwetsbaar voor oudere kwetsbaarheden,” zeiden de onderzoekers. “Door kwaadwillende code in te bedden in legitieme authenticatiepagina’s, kunnen aanvallers lange tijd onopgemerkt blijven en tegelijkertijd gebruikersreferenties vastleggen in platte tekst.”
