一个未知的威胁行为者正在利用Microsoft Exchange Server中的已知安全漏洞,在针对非洲和中东实体的攻击中部署键盘记录恶意软件。
俄罗斯网络安全公司Positive Technologies表示,已确定30多名受害者,包括政府机构、银行、IT公司和教育机构。首次入侵可以追溯到2021年。
“这个键盘记录器将帐户凭据收集到通过互联网访问的文件中,”该公司在上周发表的报告中表示。
受攻击的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。
攻击链始于利用微软于2021年5月修补的ProxyShell漏洞(CVE-2021-34473、CVE-2021-34523和CVE-2021-31207)。成功利用这些漏洞可让攻击者绕过身份验证、提升权限,并执行未经身份验证的远程代码执行。该漏洞由DEVCORE研究小组的Orange Tsai发现并发布。
在利用ProxyShell漏洞后,威胁行为者将键盘记录器添加到服务器主页“logon.aspx”中,并注入代码以在单击登录按钮时捕获凭据到互联网可访问的文件中。
Positive Technologies表示,无法在现阶段将攻击归因于已知的威胁行为者或团体。
该公司建议组织更新Microsoft Exchange Server到最新版本,并在Exchange Server主页中寻找潜在的妥协迹象,包括插入键盘记录器的clkLgn()功能。
“如果您的服务器受到损害,请识别被盗的帐户数据,并删除黑客存储这些数据的文件,”该公司表示。“您可以在logon.aspx文件中找到此文件的路径。”
