🔒 Positive Technologies scopre la violazione degli Exchange Server: agenzie governative nel mirino
La nota azienda per la sicurezza delle informazioni, Positive Technologies ha svelato una serie di attacchi informatici mirati eseguiti tramite Microsoft Exchange Server. Questi attacchi furono scoperti durante un'operazione di risposta ad un incidente informatico.
Il gruppo di analisi di Positive Technologies Expert Security Center (PT ESC) ha scoperto che era stato impiantato uno sconosciuto keylogger nell'interfaccia principale del server Microsoft Exchange di uno dei loro clienti. Compito di questo keylogger era raccogliere le credenziali di accesso e immagazzinarle in un file, fruibile attraverso un preciso percorso web.
Secondo quanto rilevato, PT ESC ha riconosciuto più di 30 vittime di tale attacco cybernetico. La maggior parte delle vittime sono agenzie governative estere, con il primo attacco identificato che risale al 2021. Le vittime sono prevalentemente localizzate in Africa e in Medio Oriente.
Per spiegare brevemente lo scenario di attacco: gli hacker hanno sfruttato ProxyShell, una prolifica vulnerabilità di Microsoft Exchange Server, così come rivelato dallo studio di Positive Technologies. Questo ha permesso loro di iniettare lo stealer. Successivamente hanno incorporato il codice del keylogger nella pagina principale del server.
Gli hacker hanno inoltre inserito un codice logon.aspx, che analizza il risultato dell'azione del ladro e indirizza le credenziali dell'account in un file accessibile da Internet.
Tra le vittime identificate, si contano più di 30 entità, principalmente agenzie governative di diverse nazioni. Tra questi, anche banche, società di informatica e istituti di formazione. I paesi maggiormente colpiti comprendono Russia, Emirati Arabi Uniti, Kuwait, Oman, Niger, Nigeria, Etiopia, Mauritius, Giordania e Libano. Tutte le vittime sono state informate della violazione.
Per verificare una potenziale compromissione, è possibile cercare il codice stealer nella pagina principale del proprio server Microsoft Exchange. Se il server è stato compromesso, si raccomanda di identificare le credenziali dell'account che sono state rubate e cancellare il file in cui queste informazioni sono state archiviate dagli hacker. Il percorso di questo file può essere rintracciato nel file logon.aspx. È altresì consigliato utilizzare la versione più recente di Microsoft Exchange Server, o installare gli aggiornamenti in sospeso.
Questa scoperta mette in luce ancora una volta l'importanza della sicurezza informatica e dell'aggiornamento costante dei sistemi. Una minaccia come ProxyShell può rappresentare un rischio notevole se non viene prontamente affrontata. Positive Technologies riferisce che continuerà a monitorare la situazione e fornirà ulteriori aggiornamenti non appena saranno disponibili nuove informazioni.
#SicurezzaInformatica #CyberAttacks #MicrosoftExchange #ProxyShell #Keylogger
La nota azienda per la sicurezza delle informazioni, Positive Technologies ha svelato una serie di attacchi informatici mirati eseguiti tramite Microsoft Exchange Server. Questi attacchi furono scoperti durante un'operazione di risposta ad un incidente informatico.
Il gruppo di analisi di Positive Technologies Expert Security Center (PT ESC) ha scoperto che era stato impiantato uno sconosciuto keylogger nell'interfaccia principale del server Microsoft Exchange di uno dei loro clienti. Compito di questo keylogger era raccogliere le credenziali di accesso e immagazzinarle in un file, fruibile attraverso un preciso percorso web.
Secondo quanto rilevato, PT ESC ha riconosciuto più di 30 vittime di tale attacco cybernetico. La maggior parte delle vittime sono agenzie governative estere, con il primo attacco identificato che risale al 2021. Le vittime sono prevalentemente localizzate in Africa e in Medio Oriente.
Per spiegare brevemente lo scenario di attacco: gli hacker hanno sfruttato ProxyShell, una prolifica vulnerabilità di Microsoft Exchange Server, così come rivelato dallo studio di Positive Technologies. Questo ha permesso loro di iniettare lo stealer. Successivamente hanno incorporato il codice del keylogger nella pagina principale del server.
Gli hacker hanno inoltre inserito un codice logon.aspx, che analizza il risultato dell'azione del ladro e indirizza le credenziali dell'account in un file accessibile da Internet.
Tra le vittime identificate, si contano più di 30 entità, principalmente agenzie governative di diverse nazioni. Tra questi, anche banche, società di informatica e istituti di formazione. I paesi maggiormente colpiti comprendono Russia, Emirati Arabi Uniti, Kuwait, Oman, Niger, Nigeria, Etiopia, Mauritius, Giordania e Libano. Tutte le vittime sono state informate della violazione.
Per verificare una potenziale compromissione, è possibile cercare il codice stealer nella pagina principale del proprio server Microsoft Exchange. Se il server è stato compromesso, si raccomanda di identificare le credenziali dell'account che sono state rubate e cancellare il file in cui queste informazioni sono state archiviate dagli hacker. Il percorso di questo file può essere rintracciato nel file logon.aspx. È altresì consigliato utilizzare la versione più recente di Microsoft Exchange Server, o installare gli aggiornamenti in sospeso.
Questa scoperta mette in luce ancora una volta l'importanza della sicurezza informatica e dell'aggiornamento costante dei sistemi. Una minaccia come ProxyShell può rappresentare un rischio notevole se non viene prontamente affrontata. Positive Technologies riferisce che continuerà a monitorare la situazione e fornirà ulteriori aggiornamenti non appena saranno disponibili nuove informazioni.
#SicurezzaInformatica #CyberAttacks #MicrosoftExchange #ProxyShell #Keylogger