Bilinmeyen bir tehdit aktörü, Afrika ve Orta Doğu’daki varlıkları hedef alan saldırılarda keylogger kötü amaçlı yazılım dağıtmak için Microsoft Exchange Server’daki bilinen güvenlik açıklarından yararlanıyor.
Rus siber güvenlik şirketi Positive Technologies, devlet kurumları, bankalar, BT şirketleri ve eğitim kurumlarından oluşan 30’dan fazla kurban tespit ettiğini söyledi. İlk uzlaşma 2021 yılına kadar uzanıyor.
Şirket geçen hafta yayınlanan bir raporda, “Bu keylogger, hesap bilgilerini internetten özel bir yolla erişilebilen bir dosyada topluyordu” dedi.
Saldırı grubunun hedef aldığı ülkeler arasında Rusya, BAE, Kuveyt, Umman, Nijer, Nijerya, Etiyopya, Mauritius, Ürdün ve Lübnan yer alıyor.
Saldırı zincirleri, ilk olarak Mayıs 2021’de Microsoft tarafından yamalanan ProxyShell kusurlarının (CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207) kullanılmasıyla başlıyor.
Güvenlik açıklarından başarıyla yararlanılması, bir saldırganın kimlik doğrulamayı atlamasına, ayrıcalıklarını yükseltmesine ve kimliği doğrulanmamış, uzaktan kod yürütme gerçekleştirmesine olanak tanıyabilir. Kullanım zinciri, DEVCORE Araştırma Ekibinden Orange Tsai tarafından keşfedildi ve yayınlandı.
ProxyShell istismarını, tehdit aktörlerinin, oturum açma düğmesi tıklatıldığında internetten erişilebilen bir dosyaya kimlik bilgilerini yakalamaktan sorumlu kodun eklenmesine ek olarak, sunucu ana sayfasına (“logon.aspx”) keylogger’ı eklemesi takip eder.
Positive Technologies, ek bilgi olmadan bu aşamada saldırıları bilinen bir tehdit aktörüne veya grubuna atfetemeyeceğini söyledi.
Kuruluşların, Microsoft Exchange Server örneklerini en son sürüme güncellemenin yanı sıra, keylogger’ın yerleştirildiği clkLgn() işlevi de dahil olmak üzere Exchange Server’ın ana sayfasında olası tehlike işaretlerini aramaları tavsiye edilir.
Şirket, “Sunucunuzun güvenliği ihlal edilmişse, çalınan hesap verilerini tanımlayın ve bu verilerin bilgisayar korsanları tarafından saklandığı dosyayı silin” dedi. “Bu dosyanın yolunu logon.aspx dosyasında bulabilirsiniz.”