Bilinmeyen tehdit aktörleri, dünyanın dört bir yanındaki devlet kuruluşlarının ve şirketlerinin internet tarafından erişilebilir Microsoft Exchange sunucularını tehlikeye attılar ve organizasyonların tarayıcı tabanlı anahtarlogerlarla web (OWA) giriş sayfasına bakışını enjekte ettiler.
Keylogging JavaScript kodu (Kaynak: Pozitif Teknolojiler)
Uzlaşma için ilk vektör bilinmiyor
Araştırmacılar, saldırganların tehlikeye atılan sunuculara nasıl eriştiklerini belirleyemediler.
Bazıları, proxylogon (CVE-2021-26855), üç proxyshell güvenlik açıkları (CVE-2021-34523, CVE-2021-34523, kamu-2021-31207) ve smbghost (diğerleri tarafından etkilenen) dahil olmak üzere eski güvenlik açıklarına karşı savunmasızdı (diğerleri bilinen)-ve diğerleri)- Güvenlik açıkları, böylece saldırganlar onları tehlikeye atmak için başka yöntemler kullanmış olabilirler.
Araştırmacıların kurabildikleri, oturum açma sayfalarının her ikisinden de ödün verdiğidir:
- Oturum açma kimlik bilgilerini (ve bazen kullanıcı çerezlerini) kimlik doğrulama formundan alan ve esasen verileri internetten erişilebilen uzlaşmış sunucuda bir dosyaya yazan bir JavaScript Keylogger veya
- Verileri bir telgraf botuna veya Discord sunucusuna ekleyen bir JavaScript Keylogger ve saldırganların çalınan kimlik bilgilerinin hangi organizasyona ait olduğunu bilecek şekilde işaretler.
Hasar kontrolü
Bu saldırganlardan etkilenen sunucular Vietnam, Rusya, Tayvan, Çin, Avustralya ve Asya, Avrupa, Afrika ve Orta Doğu’daki diğer ülkelerde bulunmuştur.
Araştırmacılar, “Meydan okulu sunucuların çoğunluğu hükümet kuruluşlarında (devlet kuruluşlarına ait 22 sunucu) ve BT, endüstriyel ve lojistik şirketlerinde bulundu” dedi.
Farklı ülkelerdeki kurban sayısı (kaynak: pozitif teknolojiler)
Kötü niyetli JavaScript kodu, bir tarayıcı aracılığıyla e -postalarına, takvimlerine vb.
Ancak kuruluşlar, potansiyel olarak kötü amaçlı kod için kullanıcı kimlik doğrulaması ile ilgili tüm oturum açma sayfalarını ve dosyaları kontrol edebilir ve kontrol etmeli ve Web kabukları ve şüpheli sayfalar için MS Exchange Server klasörünü kontrol edebilir. (Bu amaçla, araştırmacılar yararlı bir Yara kuralını paylaştılar.)
Söylemeye gerek yok, eğer tehlikeye atıldıklarını keşfettikleri takdirde, kuruluşlar saldırganların diğer sistemlere ve ağlara girip girmediklerini belirlemek için derinlemesine bir soruşturma düzenlemeli ve ödün verilen sayfa üzerinden hesaplarına erişen tüm kullanıcıların giriş bilgilerini sıfırlamalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!