Minacce sconosciute hanno sfruttato falle di sicurezza in Microsoft Exchange Server per distribuire un malware di keylogger, colpendo entità in Africa e Medio Oriente.
Attacchi mirati e keylogger
Russian cybersecurity firm Positive Technologies ha identificato oltre 30 vittime, tra cui enti governativi, banche, aziende IT e istituti di istruzione, con la prima compromissione risalente al 2021.
Il keylogger raccolto è stato progettato per raccogliere credenziali di account in un file accessibile tramite un percorso speciale da internet. I paesi colpiti includono Russia, Emirati Arabi Uniti, Kuwait, Oman, Niger, Nigeria, Etiopia, Mauritius, Giordania e Libano.
Catene di attacco e vulnerabilità
Le catene di attacco iniziano con l’sfruttamento delle falle ProxyShell (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207), originariamente patchate da Microsoft nel maggio 2021. Lo sfruttamento di queste vulnerabilità può consentire agli aggressori di eludere l’autenticazione, elevare i propri privilegi ed eseguire codice remoto non autenticato.
Misure consigliate
Per proteggersi da questi attacchi, le organizzazioni dovrebbero:
- Aggiornare i server Microsoft Exchange alla versione più recente.
- Cercare segni di compromissione nel server principale di Exchange, inclusa la funzione clkLgn() dove è inserito il keylogger.
- Identificare i dati dell’account rubati e eliminare il file in cui i dati rubati sono archiviati dai hacker.
La sicurezza delle organizzazioni dipende dalla loro capacità di mantenere aggiornati i loro sistemi e di individuare tempestivamente i segni di compromissione. Con l’aumento degli attacchi mirati, è fondamentale adottare misure proattive per proteggere le proprie reti e i propri dati.
Fonte: https://thehackernews.com/2024/05/ms-exchange-server-flaws-exploited-to.html
