Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder der sich dort anmeldete übergab damit seine Login-Daten. Viele Opfer davon standen wohl im Kontakt mit Regierungsbehörden.
Bei der Reaktion auf einen Vorfall entdeckte das Incident Response Team des Positive Technologies Expert Security Center (PT ESC) einen unbekannten Keylogger, der in die Hauptseite eines Microsoft Exchange Servers ihrer Kunden eingebettet war. Dieser Keylogger sammelte Kontoanmeldeinformationen in einer Datei, auf die über einen speziellen Pfad vom Internet aus abgerufen werden konnte. Das Team identifizierte bis dato über 30 Opfer, von denen die meisten mit Regierungsbehörden in verschiedenen Ländern in Verbindung standen. Anscheinend gibt es das Leck bereits seit 2021. Allerdings konnte der Angriff keiner speziellen APT-Gruppe zuordnet werden. Die meisten Opfer scheinen sich jedoch in Afrika und im Nahen Osten zu befinden.
Keylogger stiehlt die Anmeldedaten
Um den Stealer einzuschleusen, nutzten die Hacker ProxyShell, eine bekannte Schwachstelle des Microsoft Exchange Servers. Anschließend fügten sie den Keylogger-Code zur Hauptseite des Servers hinzu. Darüber hinaus fügten die Hacker der Datei logon.aspx einen Code hinzu, der die Ergebnisse der Arbeit des Diebes verarbeitet und die Kontoanmeldeinformationen in eine über das Internet zugängliche Datei umleitet.
Administratoren können wohl schnell prüfen, ob ihr Exchange-Server betroffen ist: man muss nur die Anmeldeseite nach dem Diebstahlscode absuchen, welchen die Experten auf ihrer Seite veröffentlicht haben. Auch sollte dann gleich der Abrufpfad der gespeicherten Dateien gesperrt und die Datei mit den gestohlenen Kontodaten gelöscht werden.
Mehr bei PTsecurity.com