Positive Technologies’in Uzman Güvenlik Merkezi (PT ESC), Microsoft Exchange Sunucularının ana sayfasında gizlenmiş gelişmiş bir keylogger buldu.
Bu, dünya çapındaki işletmeleri ve devlet kurumlarını etkileyen büyük bir güvenlik ihlalidir.
2021’den bu yana özel kimlik bilgilerini çalan yaygın ve gizli saldırının kötü niyetli aktörleri, olay müdahale operasyonu sırasında keşfedildi. Microsoft Exchange Server, dünya çapında devlet kurumlarının oturum açma bilgilerini çalan bir keylogger içerir.
Keşif ve Saldırı Mekanizması
PT ESC ekibi, keylogger’ı, güvenliği ihlal edilmiş bir Microsoft Exchange Server ile ilgili bir olayı araştırırken keşfetti. Kötü amaçlı kod, sunucunun birincil sayfasının clkLgn() işlevinde keşfedildi.
ANYRUN kötü amaçlı yazılım korumalı alanının 8.’si Doğum Günü Özel Teklifi: 6 Aylık Ücretsiz Hizmet Kazanın
Bu keylogger, kullanıcı adları ve şifreler gibi kullanıcı kimlik bilgilerini kaydeder ve bunları belirli bir internet yolu üzerinden erişilebilen bir dosyada saklar.
Saldırı, Microsoft Exchange Sunucularında iyi belgelenmiş bir güvenlik açığı olan ProxyShell güvenlik açığından yararlandı. Saldırganlar bu güvenlik açığından yararlanarak keylogger kodunu sunucunun ana sayfasına enjekte etmeyi başardılar. Bilgisayar korsanları aşağıdaki kod parçasını kullandı:
var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);
Ayrıca saldırganlar, elde edilen kimlik bilgilerini işleyip internet üzerinden erişilebilen bir dosyaya yönlendirmek için logon.aspx dosyasını değiştirdi. Bu, saldırganların hassas oturum açma bilgilerini fark edilmeden elde etmesine ve sızdırmasına olanak sağladı.
Soruşturma, saldırının çoğunluğu devlet kurumları olan 30’dan fazla kurbanı etkilediğini ortaya çıkardı. Etkilenen kuruluşlar arasında eğitim kurumları, şirketler ve BT şirketleri yer alıyor.
Bu saldırılar Rusya, BAE, Kuveyt, Umman, Nijer, Nijerya, Etiyopya, Mauritius, Ürdün ve Lübnan gibi Afrika ve Orta Doğu’daki çeşitli ülkeleri etkiledi.
Öneriler ve Azaltma
Positive Technologies, etkilenen tüm kuruluşları bilgilendirdi ve tehdidin azaltılmasını önerdi. Microsoft Exchange Sunucularını kullanan kuruluşların şunları yapması önerilir:
- Uzlaşmayı Kontrol Edin: Microsoft Exchange Server’ın ana sayfasında hırsız kodunu arayın.
- Yama Güvenlik Açıkları: ProxyShell de dahil olmak üzere bilinen tüm güvenlik açıklarının derhal yamalandığından emin olun.
- Günlükleri İzle: Olağandışı etkinlik ve yetkisiz erişim girişimlerine karşı sunucu günlüklerini düzenli olarak izleyin.
- Güvenlik Önlemlerini Geliştirin: Kimlik bilgileri hırsızlığına karşı koruma sağlamak için çok faktörlü kimlik doğrulama ve diğer gelişmiş güvenlik önlemlerini uygulayın.
Bu olay, güçlü siber güvenlik savunmalarını sürdürmenin ve gelişen tehditlere karşı tetikte kalmanın kritik öneminin altını çiziyor.
Saldırganlar yaygın olarak kullanılan yazılımlardaki güvenlik açıklarından yararlanmaya devam ettikçe kuruluşların hassas bilgilerini korumak için proaktif güvenlik önlemlerine öncelik vermesi gerekiyor.
Ücretsiz Web Semineri Canlı API Saldırı Simülasyonu: Yerinizi Ayırın | API’lerinizi bilgisayar korsanlarından korumaya başlayın