Một tác nhân đe dọa không xác định đang khai thác các lỗ hổng bảo mật đã biết trong Microsoft Exchange Server để triển khai phần mềm độc hại keylogger trong các cuộc tấn công nhắm vào các thực thể ở Châu Phi và Trung Đông.
Công ty an ninh mạng Nga Positive Technologies cho biết họ đã xác định được hơn 30 nạn nhân bao gồm các cơ quan chính phủ, ngân hàng, công ty CNTT và các tổ chức giáo dục. Thỏa hiệp đầu tiên bắt đầu từ năm 2021.
"Keylogger này đã thu thập thông tin đăng nhập tài khoản vào một tệp có thể truy cập thông qua một đường dẫn đặc biệt từ internet", công ty cho biết trong một báo cáo được công bố vào tuần trước.
Các quốc gia bị tấn công bao gồm Nga, UAE, Kuwait, Oman, Niger, Nigeria, Ethiopia, Mauritius, Jordan và Lebanon.
Các chuỗi tấn công bắt đầu với việc khai thác các lỗ hổng ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) ban đầu được Microsoft vá vào tháng 5 năm 2021.
Khai thác thành công các lỗ hổng có thể cho phép kẻ tấn công bỏ qua xác thực, nâng cao đặc quyền của chúng và thực hiện thực thi mã từ xa không được xác thực. Chuỗi khai thác được phát hiện và công bố bởi Orange Tsai từ Nhóm nghiên cứu DEVCORE.
Việc khai thác ProxyShell được theo sau bởi các tác nhân đe dọa thêm keylogger vào trang chính của máy chủ ("logon.aspx"), ngoài việc tiêm mã chịu trách nhiệm nắm bắt thông tin đăng nhập vào tệp có thể truy cập từ internet khi nhấp vào nút đăng nhập.
Positive Technologies cho biết họ không thể quy kết các cuộc tấn công cho một tác nhân hoặc nhóm đe dọa đã biết ở giai đoạn này mà không có thông tin bổ sung.
Bên cạnh việc cập nhật các phiên bản Microsoft Exchange Server của họ lên phiên bản mới nhất, các tổ chức được khuyến khích tìm kiếm các dấu hiệu thỏa hiệp tiềm ẩn trong trang chính của Exchange Server, bao gồm chức năng clkLgn() nơi keylogger được chèn vào.
"Nếu máy chủ của bạn đã bị xâm phạm, hãy xác định dữ liệu tài khoản đã bị đánh cắp và xóa tệp nơi dữ liệu này được lưu trữ bởi tin tặc", công ty cho biết. "Bạn có thể tìm thấy đường dẫn đến tệp này trong tệp logon.aspx."