Se ha observado que los actores de amenaza no identificados apuntan a servidores de intercambio de Microsoft expuestos públicamente e inyectan código malicioso en páginas de inicio de sesión que recopilan calificaciones.
En un nuevo análisis publicado la semana pasada, Positive Technology dijo que identificó dos tipos de códigos de keylogger enumerados en JavaScript en su página de inicio de sesión de Outlook.
Aquellos que almacenan los datos recopilados en un archivo local que se puede acceder a través de Internet, y aquellos que envían de inmediato los datos recopilados a un servidor externo
Los proveedores de ciberseguridad rusos muestran la continuación de la campaña, que se documentó por primera vez en mayo de 2024 como entidades dirigidas a África y Medio Oriente, dirigiendo entidades en África y Oriente Medio.
En ese momento, la compañía dijo que más de 30 víctimas en agencias gubernamentales, bancos, empresas e instituciones educativas habían detectado evidencia de la primera fecha de compromiso hasta 2021.
La cadena de ataque implica aprovechar fallas conocidas en Microsoft Exchange Server (como ProxyShell) para insertar el código de Keylogger en la página de inicio de sesión. Actualmente, no sabemos quién está detrás de estos ataques.
A continuación se muestra una lista de algunas de las vulnerabilidades armadas
CVE-2014-4078-IIS Vulnerabilidad de la característica de seguridad CVE-2020-0796-Windows SMBV3 CLIENTE/SERVER Código remoto Ejecución Vulnerabilidad CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-20065-27065-Microsoft Exarching Servidor) CVE-2021-31206-Microsoft Exchange Server Ejecución de código remoto Vulnerabilidad CVE-2021-31207, CVE-2021-34473, CVE-2021-34523-Microsoft Exchange Server Security Características de seguridad Vulnerabilidad (proxyShell)
«El código de JavaScript malicioso lee y procesa datos del formulario de autenticación y lo envía a una página específica en el servidor de Exchange comprometido a través de una solicitud XHR».
«El código fuente para la página de destino contiene funciones de controlador que leen solicitudes entrantes y escriben datos en un archivo en el servidor».
Se puede acceder a archivos que contienen datos robados desde redes externas. Se sabe que las variantes de selección con Keylogging local también recopilan cookies de usuarios, cadenas de agentes de usuario y marcas de tiempo.
Una ventaja de este enfoque es que hay pocas posibilidades de detección, ya que no hay tráfico saliente para enviar información.
Mientras tanto, la segunda variante detectada por Positive Technology utiliza bots de telegrama a través de XHR Get Solicitud utilizando contraseñas almacenadas en encabezados APIKEY y AuthToken, respectivamente, a través de solicitudes de Get XHR.
El segundo método implica el uso de un túnel del sistema de nombre de dominio (DNS) junto con las solicitudes de publicación HTTPS que envían credenciales de usuario y pasan por las defensas de su organización.
22 Los servidores comprometidos han sido descubiertos por organizaciones gubernamentales, seguidas de enfermedades infecciosas en las empresas de TI, industria y logística. Vietnam, Rusia, Taiwán, China, Pakistán, Líbano, Australia, Zambia, Países Bajos y Turquía son uno de los 10 goles principales.
«Los numerosos servidores de intercambio de Microsoft accesibles desde Internet siguen siendo vulnerables a las vulnerabilidades más antiguas», dijeron los investigadores. «Al incrustar el código malicioso en páginas de autenticación legítimas, los atacantes pueden capturar las credenciales de los usuarios en texto plano mientras las dejan sin ser detectadas por un largo período de tiempo».
Source link
