Η κυβερνοεπίθεση CLOUD#REVERSER χρησιμοποιεί Cloud υπηρεσίες για διάδοση κακόβουλου λογισμικού
29 Μαΐου, 2024Google: Κυκλοφόρησε διορθώσεις για μια σοβαρή ευπάθεια ασφαλείας στον Chrome
31 Μαΐου, 2024Ένας κακόβουλος παράγοντας εκμεταλλεύεται γνωστά κενά ασφαλείας στον MS (Microsoft) Exchange Server για να αναπτύξει keylogger malware σε επιθέσεις που στοχεύουν οντότητες στην Αφρική και τη Μέση Ανατολή.
Η ρωσική εταιρεία κυβερνοασφάλειας Positive Technologies ανέφερε ότι εντόπισε πάνω από 30 θύματα, περιλαμβάνοντας κυβερνητικές υπηρεσίες, τράπεζες, εταιρείες πληροφορικής και εκπαιδευτικά ιδρύματα. Η πρώτη παραβίαση χρονολογείται από το 2021.
Οι χώρες που στοχεύονται από αυτό το σύνολο επιθέσεων περιλαμβάνουν τη Ρωσία, τα Η.Α.Ε., το Κουβέιτ, το Ομάν, τον Νίγηρα, τη Νιγηρία, την Αιθιοπία, το Μαυρίκιο, την Ιορδανία και το Λίβανο. Οι αλυσίδες επιθέσεων ξεκινούν με την εκμετάλλευση των κενών ProxyShell (CVE-2021-34473, CVE-2021-34523 και CVE-2021-31207) που είχαν αντιμετωπιστεί από τη Microsoft τον Μάιο του 2021.
Η επιτυχής εκμετάλλευση αυτών των κενών ασφαλείας μπορεί να επιτρέψει σε έναν χάκερ να παρακάμψει την αυθεντικοποίηση, να αυξήσει τα προνόμιά του και να εκτελέσει απομακρυσμένα κώδικα χωρίς αυθεντικοποίηση. Μετά την εκμετάλλευση του ProxyShell, οι κακόβουλοι παράγοντες προσθέτουν το keylogger στην κύρια σελίδα του διακομιστή (“logon.aspx”) και εγχέουν κώδικα που συλλέγει τα διαπιστευτήρια σε ένα αρχείο προσβάσιμο από το διαδίκτυο κατά την είσοδο.
Η Positive Technologies ανέφερε ότι δεν μπορεί να αποδώσει τις επιθέσεις σε γνωστό κακόβουλο παράγοντα ή ομάδα χωρίς επιπρόσθετες πληροφορίες. Εκτός από την ενημέρωση των εκδόσεών τους στο Microsoft Exchange Server, οι οργανισμοί καλούνται να αναζητήσουν ενδείξεις παραβίασης στην κύρια σελίδα του MS (Microsoft) Exchange Server, συμπεριλαμβανομένης της λειτουργίας clkLgn() όπου έχει εισαχθεί το keylogger.
Η εταιρεία σημειώνει: “Εάν διαπιστωθεί παραβίαση του διακομιστή σας, αναγνωρίστε τα δεδομένα λογαριασμών που έχουν κλαπεί και διαγράψτε το αρχείο όπου αποθηκεύονται αυτά τα δεδομένα. Μπορείτε να βρείτε τη διαδρομή σε αυτό το αρχείο στο αρχείο logon.aspx“.