未確認の脅威アクターが、公開されているMicrosoft Exchangeサーバーを標的にし、ログインページに悪意のあるコードを注入して資格情報を収集していることが観察されています。
先週発表された新しい分析で、Positive Technologiesは、OutlookのログインページにJavaScriptで書かれた2種類のキーロガーコードを特定したと述べました –
- 収集したデータをインターネット経由でアクセス可能なローカルファイルに保存するもの
- 収集したデータを即座に外部サーバーに送信するもの
ロシアのサイバーセキュリティベンダーは、攻撃が世界26か国で65の被害者を標的にしており、2024年5月にアフリカと中東の組織を標的にしたキャンペーンの継続であると述べました。
当時、同社は政府機関、銀行、IT企業、教育機関にまたがる30以上の被害者を検出し、最初の侵害の証拠は2021年に遡ると述べました。
攻撃チェーンは、Microsoft Exchange Serverの既知の脆弱性(例:ProxyShell)を悪用してログインページにキーロガーコードを挿入することを含みます。これらの攻撃の背後に誰がいるのかは現在不明です。
武器化された脆弱性の一部は以下の通りです –
- CVE-2014-4078 – IISセキュリティ機能バイパスの脆弱性
- CVE-2020-0796 – Windows SMBv3クライアント/サーバーのリモートコード実行の脆弱性
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 – Microsoft Exchange Serverのリモートコード実行の脆弱性(ProxyLogon)
- CVE-2021-31206 – Microsoft Exchange Serverのリモートコード実行の脆弱性
- CVE-2021-31207, CVE-2021-34473, CVE-2021-34523 – Microsoft Exchange Serverのセキュリティ機能バイパスの脆弱性(ProxyShell)
“悪意のあるJavaScriptコードは認証フォームからデータを読み取り処理し、それをXHRリクエストを通じて侵害されたExchange Serverの特定のページに送信します”と、セキュリティ研究者のKlimentiy GalkinとMaxim Suslovは述べました。
“ターゲットページのソースコードには、受信リクエストを読み取り、データをサーバー上のファイルに書き込むハンドラ関数が含まれています。”
盗まれたデータを含むファイルは外部ネットワークからアクセス可能です。ローカルキーロギング機能を持つ一部のバリアントは、ユーザーのクッキー、User-Agent文字列、タイムスタンプも収集することが判明しています。
このアプローチの利点の一つは、情報を送信するための外部トラフィックがないため、検出される可能性がほとんどないことです。
一方、Positive Technologiesによって検出された2番目のバリアントは、TelegramボットをXHGETリクエストを介したデータ流出ポイントとして使用し、エンコードされたログインとパスワードをAPIKeyとAuthTokenヘッダーにそれぞれ保存します。
2番目の方法は、ユーザーの資格情報を送信し、組織の防御をすり抜けるために、Domain Name System (DNS) トンネルをHTTPS POSTリクエストと組み合わせて使用します。
感染したサーバーのうち22台は政府機関で発見され、次いでIT、産業、物流企業での感染が続いています。ベトナム、ロシア、台湾、中国、パキスタン、レバノン、オーストラリア、ザンビア、オランダ、トルコがトップ10の標的です。
“インターネットからアクセス可能な多くのMicrosoft Exchangeサーバーは、依然として古い脆弱性に対して脆弱なままです”と研究者たちは述べました。”攻撃者は、正規の認証ページに悪意のあるコードを埋め込むことで、長期間にわたり検出されずにプレーンテキストでユーザーの資格情報を捕捉することができます。”
翻訳元: https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html