Se ha observado que los actores de amenaza no identificados dirigen a los servidores de intercambio de Microsoft expuestos para inyectar código sagaz en las páginas de inicio de sesión que cosechan sus credenciales.
Positive Technologies, en un nuevo exploración publicado la semana pasada, dijo que identificó dos tipos diferentes de código de keylogger escrito en JavaScript en la página de inicio de sesión de Outlook –
- Aquellos que guardan datos recopilados en un archivo almacén accesible a través de Internet
- Aquellos que envían inmediatamente los datos recopilados a un servidor foráneo
El proveedor de ciberseguridad ruso dijo que los ataques han atacado a 65 víctimas en 26 países en todo el mundo, y marca una continuación de una campaña que se documentó por primera vez en mayo de 2024 como entidades dirigidas a África y Oriente Medio.
En ese momento, la compañía dijo que había detectado no menos de 30 víctimas que abarcan agencias gubernamentales, bancos, empresas e instituciones educativas, con evidencia del primer compromiso que se remonta a 2021.
Las cadenas de ataque implican explotar fallas conocidas en Microsoft Exchange Server (por ejemplo, proxyshell) para insertar el código de Keylogger en la página de inicio de sesión. Actualmente no se sabe quién está detrás de estos ataques.
Algunas de las vulnerabilidades armadas se enumeran a continuación –
- CVE-2014-4078-Vulnerabilidad de derivación de características de seguridad de IIS
- CVE-2020-0796-Vulnerabilidad a la ejecución del código remoto del cliente/servidor Windows SMBV3
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065-Vulnerabilidad de ejecución de código remoto de Microsoft Exchange Server (proxylogon)
- CVE-2021-31206-Vulnerabilidad de ejecución de código remoto de Microsoft Exchange Server
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523-Vulnerabilidad de derivación de la función de seguridad del servidor de Microsoft Exchange (proxyshell)
«El código de JavaScript sagaz lee y procesa los datos del formulario de autenticación, luego los envía a través de una solicitud de XHR a una página específica en el servidor de Exchange comprometido», dijeron los investigadores de seguridad Klimentiy Galkin y Maxim Suslov.
«El código fuente de la página de destino contiene una función de compensador que lee la solicitud entrante y escribe los datos en un archivo en el servidor».
Se puede obtener al archivo que contiene los datos robados desde una red externa. Se ha antagónico que las variantes seleccionadas con la capacidad almacén de keylogging incluso recopilan cookies de usuarios, cadenas de agentes de agraciado y la marca de tiempo.
Una preeminencia de este enfoque es que las posibilidades de detección son casi carencia, ya que no hay tráfico saliente para transmitir la información.
La segunda transformación detectada por las tecnologías positivas, por otro costado, utiliza un bot de telegrama como punto de exfiltración a través de las solicitudes XHR con el inicio de sesión y la contraseña codificados almacenados en los encabezados Apikey y AuthToken, respectivamente.
Un segundo método implica el uso de un túnel del sistema de nombre de dominio (DNS) cercano con una solicitud de publicación HTTPS para dirigir credenciales del agraciado y acaecer por detención las defensas de una ordenamiento.
Se han antagónico veintidós de los servidores comprometidos en las organizaciones gubernamentales, seguidas de infecciones en las empresas de TI, industriales y logísticos. Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía se encuentran entre los 10 principales objetivos.
«Una gran cantidad de servidores de intercambio de Microsoft accesibles desde Internet siguen siendo vulnerables a las vulnerabilidades más antiguas», dijeron los investigadores. «Al meter el código sagaz en páginas de autenticación legítimas, los atacantes pueden permanecer sin ser detectados durante largos períodos mientras capturan las credenciales de los usuarios en texto sin formato».
