Un actor de amenazas está apuntando a organizaciones en África y el Medio Oriente mediante la explotación de fallos en Microsoft Exchange Server para entregar malware. Investigadores de Positive Technologies, al responder a un incidente de un cliente, detectaron un keylogger desconocido incrustado en la página principal del servidor Microsoft Exchange. Este keylogger se utilizó para recopilar credenciales de cuentas. Tras una investigación más profunda, se identificaron más de 30 víctimas en varios países, la mayoría vinculados a agencias gubernamentales. Según los investigadores, la campaña de malware que apunta a Microsoft Exchange Server ha estado activa desde al menos 2021. Aunque no pueden atribuir esta campaña a un grupo específico, observaron que la mayoría de las víctimas se encuentran en África y el Medio Oriente.
Países Afectados
Algunos de los países afectados por esta campaña son Rusia, Emiratos Árabes Unidos, Kuwait, Omán, Níger, Nigeria, Etiopía, Mauricio, Jordania y Líbano. Los actores de amenazas explotaron las vulnerabilidades de ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) en Microsoft Exchange Server para inyectar un info-stealer. Añadieron código de keylogger a la página principal del servidor al incrustarlo en la función clkLgn().
Mecanismo de Ataque
Los atacantes también añadieron un código que procesa los resultados del stealer en el archivo logon.aspx, luego el código redirige las credenciales de las cuentas a un archivo accesible desde internet.
Microsoft Exchange Server page
“Puede verificar una posible vulneración buscando el código del stealer en la página principal de su servidor Microsoft Exchange”, concluye el informe de Positive Technologies. “Si su servidor ha sido comprometido, identifique los datos de la cuenta que han sido robados y elimine el archivo donde se almacenan estos datos por los hackers. Puede encontrar la ruta a este archivo en el archivo logon.aspx. Asegúrese de estar utilizando la última versión de Microsoft Exchange Server, o instale las actualizaciones pendientes.”
Recomendaciones para Empresas
- Auditoría Regular: Realice auditorías periódicas en sus servidores de Microsoft Exchange para detectar posibles compromisos.
- Actualización Constante: Mantenga su software actualizado para protegerse contra vulnerabilidades conocidas.
- Monitoreo de Actividad: Implemente sistemas de monitoreo para detectar actividades sospechosas en sus servidores.
- Capacitación de Personal: Capacite a su personal en ciberseguridad para que puedan reconocer y responder adecuadamente ante posibles ataques.
- Respaldo de Datos: Asegure que se realicen copias de seguridad regulares de sus datos para minimizar el impacto de un posible ataque.
Mantenerse informado sobre las últimas amenazas y vulnerabilidades es crucial para proteger los activos digitales de su empresa. La seguridad cibernética debe ser una prioridad constante en un entorno digital en constante evolución.
