未知の脅威アクターが、アフリカと中東の対象となるエンティティにキーロガーマルウェアを展開するために、Microsoft Exchange Serverの既知のセキュリティ欠陥を悪用している。ロシアのサイバーセキュリティ企業Positive Technologiesは、政府機関、銀行、IT企業、教育機関を含む30以上の被害者を特定した。最初の侵害は2021年にさかのぼる。「このキーロガーは、インターネットから特別なパスを通じてアクセス可能なファイルにアカウント認証情報を収集していた」と同社は先週公開した報告書で述べている。攻撃によって標的とされた国には、ロシア、U.A.E.、クウェート、オマーン、ニジェール、ナイジェリア、エチオピア、モーリシャス、ヨルダン、レバノンが含まれる。攻撃チェーンは、Microsoftによって2021年5月に修正されたProxyShellの欠陥（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）の悪用から始まる。脆弱性の成功した悪用は、攻撃者が認証をバイパスし、その権限を昇格させ、認証されていないリモートコード実行を行うことを可能にする。ProxyShellの悪用に続いて、脅威アクターはサーバーのメインページ（”logon.aspx”）にキーロガーを追加し、サインインボタンをクリックするとインターネットからアクセス可能なファイルに認証情報をキャプチャするコードを注入する。Positive Technologiesは、追加情報なしにこの段階で攻撃を既知の脅威アクターやグループに帰属させることはできないと述べている。Microsoft Exchange Serverのインスタンスを最新バージョンに更新することに加えて、組織はExchange Serverのメインページにおける潜在的な侵害の兆候、特にキーロガーが挿入されたclkLgn()関数を探すよう促されている。「サーバーが侵害された場合、盗まれたアカウントデータを特定し、ハッカーによってこのデータが保存されているファイルを削除してください」と同社は述べている。「このファイルへのパスはlogon.aspxファイルで見つけることができます。」

【ニュース解説】

Microsoft Exchange Serverのセキュリティ上の脆弱性が、未知の脅威アクターによって悪用され、アフリカと中東の特定の組織を狙った攻撃でキーロガーマルウェアを展開するために使用されていることが明らかになりました。この攻撃は、政府機関、銀行、IT企業、教育機関など、30以上の被害者に及んでいます。このキーロガーは、インターネットから特定のパスを通じてアクセス可能なファイルにアカウント認証情報を収集することを目的としています。

この攻撃は、2021年にMicrosoftによって修正されたはずのProxyShellと呼ばれる脆弱性群（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）の悪用から始まります。これらの脆弱性を悪用することで、攻撃者は認証をバイパスし、権限を昇格させ、認証されていないリモートコード実行を行うことが可能になります。攻撃者は、サーバーのメインページにキーロガーを追加し、サインインボタンをクリックした際に認証情報をインターネットからアクセス可能なファイルに記録するコードを注入します。

この攻撃の影響は、政府機関や金融機関など、重要な情報を扱う組織にとって特に深刻です。アカウント認証情報の盗難は、不正アクセス、データ漏洩、さらには組織内部のシステムへの侵入を可能にするため、セキュリティ上のリスクを大幅に高めます。

組織は、Microsoft Exchange Serverのインスタンスを最新の状態に保ち、特にメインページのclkLgn()関数にキーロガーが挿入されていないかどうかを確認することが重要です。侵害の兆候が見つかった場合は、盗まれたアカウントデータを特定し、それが保存されているファイルを削除する必要があります。

このような攻撃は、サイバーセキュリティの継続的な脅威を示しており、組織がセキュリティ対策を常に最新の状態に保つことの重要性を強調しています。また、セキュリティパッチの迅速な適用、異常なアクセスや活動の監視、従業員のセキュリティ意識の向上など、包括的なセキュリティ戦略の実施が不可欠です。この事件は、サイバーセキュリティの脅威が進化し続ける中で、組織が警戒を怠らず、適切な対策を講じることの重要性を改めて浮き彫りにしています。

from MS Exchange Server Flaws Exploited to Deploy Keylogger in Targeted Attacks.