Keylogger-Angriffe über MS Exchange-Server
Cyberkriminelle nutzen derzeit bekannte Sicherheitslücken in Microsoft Exchange-Server aus, um Keylogger-Malware in gezielten Angriffen auf Einrichtungen in Afrika und dem Nahen Osten einzusetzen.
Das russische Cybersicherheitsunternehmen Positive Technologies hat mehr als 30 Opfer identifiziert, darunter Regierungsbehörden, Banken, IT-Unternehmen und Bildungseinrichtungen. Die erste Kompromittierung fand 2021 statt.
„Dieser Keylogger sammelte die Anmeldedaten von Konten in einer Datei, die über einen speziellen Pfad aus dem Internet zugänglich war“, so das Unternehmen in einem aktuellen Bericht. Zu den betroffenen Ländern gehören Russland, die Vereinigten Arabischen Emirate, Kuwait, Oman, Niger, Nigeria, Äthiopien, Mauritius, Jordanien und Libanon.
Die Angriffe beginnen mit der Ausnutzung der ProxyShell-Schwachstellen (CVE-2021-34473, CVE-2021-34523 und CVE-2021-31207), die Microsoft ursprünglich im Mai 2021 behoben hat.
Ein erfolgreicher Angriff auf die Schwachstellen könnte es einem Angreifer ermöglichen, die Authentifizierung zu umgehen, seine Berechtigungen zu erhöhen und Remotecode auszuführen. Diese Schwachstellenkette wurde von Orange Tsai vom DEVCORE Research Team entdeckt und veröffentlicht.
Nach dem Ausnutzen der ProxyShell-Schwachstellen fügen die Angreifer den Keylogger zur Hauptseite des Servers („logon.aspx“) hinzu und injizieren den Code, der die Anmeldedaten sammelt, in eine über das Internet zugängliche Datei, sobald jemand auf „Anmelden“ klickt.
Positive Technologies kann die Angriffe derzeit keinem bekannten Bedrohungsakteur oder einer Gruppe zuordnen.
Unternehmen sollten ihre Microsoft Exchange Server auf die neueste Version aktualisieren und auf Anzeichen für eine Kompromittierung der Hauptseite des Exchange Servers achten, einschließlich der Funktion clkLgn(), in die der Keylogger eingefügt wird.
„Wenn Ihr Server kompromittiert wurde, identifizieren Sie die gestohlenen Kontodaten und löschen Sie die Datei, in der diese Daten gespeichert wurden“, empfiehlt das Unternehmen. „Den Pfad zu dieser Datei finden Sie in der Datei logon.aspx.“