MS Exchange Server Flaws Exploited to Deploy Keylogger in Targeted Attacks
2024/05/22 TheHackerNews — Microsoft Exchange Server の既知の脆弱性を悪用する未知の脅威アクターが、アフリカと中東の企業を標的とした攻撃で、キーロガー型マルウェアを展開している。ロシアのサイバーセキュリティ企業 Positive Technologies によると、政府機関/銀行/IT 企業、教育機関などの、30件以上の被害者が確認されているという。なお、最初の被害は、2021年にさかのぼる。
Positive Technologies は、「このキーロガーは、インターネットから特別なパスを通してアクセス可能なファイルに、盗み出したアカウント情報を収集していた」と述べている。侵入の標的となった国々には、ロシア/U.A.E./クウェート/オマーン/ニジェール/ナイジェリア/エチオピア/モーリシャス/ヨルダン/レバノンなどが含まれる。
この攻撃チェーンは、2021年5月に Microsoft がパッチを適用した、ProxyShell の脆弱性 CVE-2021-34473/CVE-2021-34523/CVE-2021-31207 の悪用から始まる。それらの脆弱性の悪用に成功した攻撃者は、認証を回避し、権限を昇格させた後に、リモート・コードを実行する可能性を持つ。なお、この悪用のチェーンは、DEVCORE Research Team の Orange Tsai により発見/公開されている。
ProxyShell の悪用に続いて、攻撃者はサーバのメイン・ページ “logon.aspx” にキーロガーを追加し、さらにサインイン・ボタンをクリックすると、インターネットからアクセスできるファイルにコードを挿入し、それにより資格情報を不正に取得する。
現時点においては情報が不足しているため、この攻撃を、既知の脅威アクター/グループによるものと断定できないと、Positive Technologies は述べている。
ユーザー組織に強く推奨されるのは、Microsoft Exchange Server インスタンスを最新バージョンに更新することだが、それに加えて、キーロガーが挿入される clkLgn() 関数を含む、Exchange Server のメイン・ページにおいて、侵害の兆候の有無を確認することだ。
Positive Technologies は、「サーバが侵害された場合には、盗まれたアカウント・データを特定すべきだ。さらに、そのデータを、ハッカーが保存しているファイルを削除する必要がある。そのファイルへのパスは、logon.aspx ファイル内で見つけることが可能だ」と指摘している。
サイバー攻撃の標的にされる件数で捉えると、Exchange はダントツの1位という感じがします。また、国家に支援される APT から、金銭目的のサイバー犯罪者にいたるまで、脅威アクターたちの幅も広いように思えます。今日の記事で解説されている侵害は、ProxyShell の脆弱性 CVE-2021-34473/CVE-2021-34523/CVE-2021-31207 から始まるとのことです。いずれも古い脆弱性ですが、放置されているケースが多いのですね。よろしければ、Exchange で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.