Campanha contínua de Malware explora falhas no MSExchange

Os pesquisadores da Positive Technologies observaram, ao responder ao incidente de um cliente, que detectaram um keylogger desconhecido incorporado na página principal do Microsoft Exchange Server. O keylogger foi usado para coletar credenciais da conta. Uma investigação mais aprofundada permitiu identificar mais de 30 vítimas em vários países, a maioria das quais ligadas a agências governamentais. Segundo os investigadores, a campanha de malware dirigida ao MS Exchange Server está activa desde pelo menos 2021. Os investigadores não podem atribuir esta campanha a um grupo específico, no entanto, observaram que a maioria das vítimas está em África e no Médio Oriente.

Alguns dos países visados ​​por esta campanha são a Rússia, os Emirados Árabes Unidos, o Kuwait, Omã, o Níger, a Nigéria, a Etiópia, as Maurícias, a Jordânia e o Líbano.

Os agentes da ameaça exploraram as vulnerabilidades do ProxyShell ( CVE-2021-34473 , CVE-2021-34523 e CVE-2021-31207 ) no Microsoft Exchange Server para injetar um ladrão de informações. Eles adicionaram o código do keylogger à página principal do servidor, incorporando-o à clkLgn()função.

Os invasores também adicionaram um código que processa os resultados do ladrão no arquivo logon.aspx e, em seguida, o código redireciona as credenciais da conta em um arquivo acessível pela Internet.

“Você pode verificar possíveis comprometimentos procurando o código do ladrão na página principal do seu servidor Microsoft Exchange.” conclui o relatório da Positive Technologies. “Se o seu servidor foi comprometido, identifique os dados da conta que foram roubados e exclua o arquivo onde esses dados estão armazenados pelos hackers. Você pode encontrar o caminho para esse arquivo no arquivo logon.aspx. Certifique-se de estar usando a versão mais recente do Microsoft Exchange Server ou instale atualizações pendentes.”