Keylogger stiehlt bei Exchange Servern Login-Daten

B2B Cyber Security ShortNews

Beitrag teilen

Das Incident Response Team des PT ESC hat einen neuartigen Keylogger in der Hauptseite eines Microsoft Exchange Servers entdeckt. Jeder der sich dort anmeldete übergab damit seine Login-Daten. Viele Opfer davon standen wohl im Kontakt mit Regierungsbehörden.

Bei der Reaktion auf einen Vorfall entdeckte das Incident Response Team des Positive Technologies Expert Security Center (PT ESC) einen unbekannten Keylogger, der in die Hauptseite eines Microsoft Exchange Servers ihrer Kunden eingebettet war. Dieser Keylogger sammelte Kontoanmeldeinformationen in einer Datei, auf die über einen speziellen Pfad vom Internet aus abgerufen werden konnte. Das Team identifizierte bis dato über 30 Opfer, von denen die meisten mit Regierungsbehörden in verschiedenen Ländern in Verbindung standen. Anscheinend gibt es das Leck bereits seit 2021. Allerdings konnte der Angriff keiner speziellen APT-Gruppe zuordnet werden. Die meisten Opfer scheinen sich jedoch in Afrika und im Nahen Osten zu befinden.

Keylogger stiehlt die Anmeldedaten

Um den Stealer einzuschleusen, nutzten die Hacker ProxyShell, eine bekannte Schwachstelle des Microsoft Exchange Servers. Anschließend fügten sie den Keylogger-Code zur Hauptseite des Servers hinzu. Darüber hinaus fügten die Hacker der Datei logon.aspx einen Code hinzu, der die Ergebnisse der Arbeit des Diebes verarbeitet und die Kontoanmeldeinformationen in eine über das Internet zugängliche Datei umleitet.

Administratoren können wohl schnell prüfen, ob ihr Exchange-Server betroffen ist: man muss nur die Anmeldeseite nach dem Diebstahlscode absuchen, welchen die Experten auf ihrer Seite veröffentlicht haben. Auch sollte dann gleich der Abrufpfad der gespeicherten Dateien gesperrt und die Datei mit den gestohlenen Kontodaten gelöscht werden.

Mehr bei PTsecurity.com

 

Passende Artikel zum Thema

Atom- und Chemieanlagen: Biometrische Scanner mit Schwachstellen

Experten haben 24 Schwachstellen in den hybriden biometrischen Zugangsterminals des internationalen Herstellers ZKTeco gefunden. Die betroffenen Scanner werden vermehrt in ➡ Weiterlesen

Cloud-Anbieter: Kunden mit Frostbite-Malware attackiert

Wie Experten berichten, werden aktuell viele Kunden des Cloud-Anbieters Snowflake ins Visier genommen. Dazu nutzen die Angreifer die Malware FROSTBITE ➡ Weiterlesen

Schutzlösungen für MacOS Sonoma im Test

Der große Test von Schutz-Software für Unternehmen und Einzelplatz-PCs für MacOS fand im AV-TEST-Labor erstmals unter der MacOS Version Sonoma ➡ Weiterlesen

BSI: Neue Studie zu Hardware-Trojaner 

Das BSI hat eine Studie veröffentlicht zu Manipulationsmöglichkeiten von Hardware in verteilten Fertigungsprozessen. Dabei geht es um versteckte Chips auf ➡ Weiterlesen

Intel schließt kritische und hochgefährliche Sicherheitslücken

Fast etwas unauffällig hat Intel viele Sicherheitslücken in seinen Produkten geschlossen. Mit dabei sind eine kritische Lücke mit dem CVSS-Wert ➡ Weiterlesen

Win 11 Copilot+ Recall: Microsoft baut auf Druck IT-Security ein

Kurz nachdem Microsoft Chef Satya Nadella Copilot+ Recall für Windows 11 vorgestellt hatte, haben Experten in Sachen IT-Security vernichtende Urteile ➡ Weiterlesen

BSI und Zero Day Initiative warnt vor kritischer Azure Schwachstelle  

Die Zero Day Initiative (ZDI) sammelt und verifiziert gemeldete Schwachstellen. Nun gibt es wohl eine kritische Schwachstelle in Azure mit dem ➡ Weiterlesen

Hoffnung für Unternehmen: FBI hat 7.000 LockBit Ransomware-Keys

Bereits im Februar und im Mai startete FBI, Europol und viele andere Behörden die Operationen gegen die Ransomware-Erpresser LockBit. Dabei ➡ Weiterlesen