Kimliği belirsiz tehdit aktörleri, kimlik bilgilerini toplayan giriş sayfalarına kötü amaçlı kod enjekte etmek için kamuya açık olan Microsoft Exchange sunucularını hedefleyen gözlemlenmiştir.
Pozitif teknolojiler, geçen hafta yayınlanan yeni bir analizde, Outlook Giriş sayfasında JavaScript’te yazılmış iki farklı Keylogger kodu belirlediğini söyledi –
- İnternet üzerinden erişilebilen yerel bir dosyaya toplanan verileri kaydedenler
- Toplanan verileri hemen harici bir sunucuya gönderenler
Rus siber güvenlik satıcısı, saldırıların dünya çapında 26 ülkede 65 kurbanı hedef aldığını ve ilk olarak Mayıs 2024’te Afrika ve Orta Doğu’daki hedefleme varlıkları olarak belgelenen bir kampanyanın devam ettiğini söyledi.
O zaman şirket, 2021 yılına dayanan ilk uzlaşmanın kanıtı ile devlet kurumlarını, bankaları, BT şirketlerini ve eğitim kurumlarını kapsayan en az 30 mağdur tespit ettiğini söyledi.
Saldırı zincirleri, Keylogger kodunu giriş sayfasına eklemek için Microsoft Exchange Server’daki (örneğin Proxyshell) bilinen kusurları kullanmayı içerir. Şu anda bu saldırıların arkasında kimin olduğu bilinmiyor.
Silahlı güvenlik açıklarından bazıları aşağıda listelenmiştir –
- CVE-2014-4078-IIS Güvenlik Özelliği Bypass Güvenlik Açığı
- CVE-2020-0796-Windows SMBV3 İstemci/Sunucu Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 ve CVE-2021-27065-Microsoft Exchange Server Uzak Kod Yürütme Güvenlik Açığı (Proxylogon)
- CVE-2021-31206-Microsoft Exchange Server Uzaktan Kod Yürütme Güvenilirliği
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523-Microsoft Exchange Server Güvenlik Özelliği Baypas Güvenlik Açığı (Proxyshell)
Güvenlik araştırmacıları Klimentiy Galkin ve Maxim Suslov, “Kötü niyetli JavaScript kodu verileri kimlik doğrulama formundan okur ve işler, ardından bir XHR isteği aracılığıyla tehlikeye atılan Exchange sunucusundaki belirli bir sayfaya gönderir.” Dedi.
“Hedef sayfanın kaynak kodu, gelen isteği okuyan ve verileri sunucudaki bir dosyaya yazan bir işleyici işlevi içerir.”
Çalınan verileri içeren dosyaya harici bir ağdan erişilebilir. Yerel keyloglama özelliğine sahip seçkin varyantların kullanıcı çerezlerini, kullanıcı ajanı dizelerini ve zaman damgasını da topladığı bulunmuştur.
Bu yaklaşımın bir avantajı, bilgileri iletmek için giden bir trafik olmadığı için tespit şansının hiçbir şeyin yanında olmamasıdır.
Pozitif teknolojiler tarafından tespit edilen ikinci varyant ise, sırasıyla Apikey ve AuthToken başlıklarında saklanan kodlanmış giriş ve şifre ile XHR GET istekleri aracılığıyla bir telegram botu kullanır.
İkinci bir yöntem, kullanıcı kimlik bilgilerini göndermek ve bir kuruluşun savunmalarını geçerek bir HTTPS sonrası isteği ile birlikte bir alan adı sistemi (DNS) tünelinin kullanılmasını içerir.
Gezinmiş sunucuların yirmi ikisi hükümet kuruluşlarında bulundu, bunu BT, endüstriyel ve lojistik şirketlerindeki enfeksiyonlar izledi. Vietnam, Rusya, Tayvan, Çin, Pakistan, Lübnan, Avustralya, Zambiya, Hollanda ve Türkiye en iyi 10 hedef arasındadır.
Araştırmacılar, “İnternetten erişilebilen çok sayıda Microsoft Exchange sunucusu eski güvenlik açıklarına karşı savunmasız kalıyor.” Dedi. “Saldırganlar, kötü niyetli kodları meşru kimlik doğrulama sayfalarına yerleştirerek, kullanıcı kimlik bilgilerini düz metin olarak yakalarken uzun süre tespit edilmeyebilirler.”