HackerNews 编译,转载请注明出处:
据观察,不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击,通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示,他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体:
• 本地存储型:将窃取的凭证写入服务器上可通过互联网访问的本地文件
• 实时外传型:将收集的数据立即发送至外部服务器
该俄罗斯网络安全公司证实,此次攻击已针对全球26个国家的65个机构,这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者,涵盖政府机构、银行、IT公司和教育机构,首次入侵证据可追溯至2021年。
攻击链利用Microsoft Exchange Server中的已知漏洞(例如ProxyShell)向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括:
• CVE-2014-4078:IIS安全功能绕过漏洞
• CVE-2020-0796:Windows SMBv3客户端/服务器远程代码执行漏洞
• CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065:Microsoft Exchange Server远程代码执行漏洞(ProxyLogon)
• CVE-2021-31206:Microsoft Exchange Server远程代码执行漏洞
• CVE-2021-31207、CVE-2021-34473、CVE-2021-34523:Microsoft Exchange Server安全功能绕过漏洞(ProxyShell)
安全研究人员Klimentiy Galkin和Maxim Suslov指出:恶意JavaScript代码读取并处理身份验证表单的数据,通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数,该函数读取传入请求并将数据写入服务器文件。
包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于:由于无需建立外联流量传输数据,检测概率趋近于零。
Positive Technologies发现的第二种变体则通过XHR GET请求,将编码后的登录名和密码分别存储在APIKey与AuthToken标头中,利用Telegram机器人作为渗透点;另一种方法结合域名系统(DNS)隧道与HTTPS POST请求发送用户凭证,突破组织防御体系。
受感染的服务器中有22台位于政府机构,其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。
研究人员强调:大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面,攻击者得以长期潜伏,同时直接获取明文凭证。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
