Kimliği belirsiz tehdit aktörlerinin, herkese açık Microsoft Exchange sunucularını hedef alarak oturum açma sayfalarına kötü amaçlı kod enjekte ettikleri ve bu sayede kullanıcı kimlik bilgilerini topladıkları gözlemlendi.
Geçtiğimiz hafta yayımlanan yeni bir analizde, Rus siber güvenlik firması Positive Technologies, Outlook giriş sayfasına yerleştirilen iki farklı türde JavaScript tabanlı keylogger (tuş kaydedici) kod tespit ettiklerini açıkladı:
Toplanan verileri internet üzerinden erişilebilen yerel bir dosyaya kaydedenler
Toplanan verileri hemen harici bir sunucuya gönderenler
Şirket, bu saldırıların 26 ülkede 65 kurbanı hedef aldığını ve bu kampanyanın ilk olarak Mayıs 2024’te Afrika ve Orta Doğu’daki kuruluşlara yönelik olarak ortaya çıktığını belirtti.
O dönemde, hükümet kurumları, bankalar, bilişim şirketleri ve eğitim kurumları da dahil olmak üzere en az 30 kurban tespit edildiği, ilk ihlalin ise 2021 yılına kadar uzandığı belirtilmişti.
Saldırı zincirlerinde, Microsoft Exchange Server’daki bilinen açıklar (örneğin ProxyShell) istismar edilerek giriş sayfasına keylogger kodları enjekte ediliyor. Şu anda bu saldırıların arkasında kimin olduğu ise bilinmiyor.
Kullanılan bazı güvenlik açıkları şunlardır:
CVE-2014-4078 – IIS Güvenlik Özelliği Atlatma Açığı
CVE-2020-0796 – Windows SMBv3 İstemci/Sunucu Uzaktan Kod Yürütme Açığı
CVE-2021-26855, 26857, 26858, 27065 – Microsoft Exchange Server Uzaktan Kod Yürütme Açığı (ProxyLogon)
CVE-2021-31206 – Exchange Server Uzaktan Kod Yürütme Açığı
CVE-2021-31207, 34473, 34523 – Exchange Server Güvenlik Özelliği Atlatma Açığı (ProxyShell)
Güvenlik araştırmacıları Klimentiy Galkin ve Maxim Suslov, “Kötü amaçlı JavaScript kodu, kimlik doğrulama formundan verileri okur, işler ve ardından bir XHR isteği ile ele geçirilmiş Exchange sunucusundaki belirli bir sayfaya gönderir,” dedi.
“Hedeflenen sayfanın kaynak kodu, gelen isteği okuyan ve verileri sunucu üzerinde bir dosyaya yazan bir işleyici (handler) fonksiyon içeriyor.”
Çalınan verileri içeren bu dosya, dış ağlardan da erişilebilir durumda.
Yerel keylogger özelliğine sahip bazı varyantların, kullanıcı çerezlerini (cookies), User-Agent bilgilerini ve zaman damgasını (timestamp) da topladığı tespit edilmiştir.
Bu yöntemin bir avantajı, dışa veri iletimi (outbound traffic) olmaması nedeniyle tespit edilme olasılığının neredeyse sıfır olmasıdır.
Öte yandan, Positive Technologies tarafından tespit edilen ikinci varyant, verileri dışarıya sızdırmak için Telegram botunu kullanıyor. Bu varyant, şifrelenmiş kullanıcı adı ve şifre bilgilerini, sırasıyla APIKey ve AuthToken başlıkları (headers) içinde taşıyan XHR GET istekleri aracılığıyla Telegram’a iletiyor.
Bir diğer yöntemde ise, DNS tünelleme ile birlikte kullanılan HTTPS POST isteği, kullanıcı kimlik bilgilerini göndererek kurumların güvenlik önlemlerini atlatmayı hedefliyor.
Ele geçirilen sunuculardan 22’sinin devlet kurumlarına ait olduğu, diğer vakaların ise bilişim, sanayi ve lojistik sektörlerindeki şirketleri hedef aldığı belirlendi.
En çok hedef alınan ilk 10 ülke arasında Vietnam, Rusya, Tayvan, Çin, Pakistan, Lübnan, Avustralya, Zambiya, Hollanda ve Türkiye yer alıyor.
Araştırmacılar şöyle belirtti:
“İnternetten erişilebilir çok sayıda Microsoft Exchange sunucusu hâlâ eski güvenlik açıklarına karşı savunmasız durumda. Saldırganlar, kötü amaçlı kodu yasal kimlik doğrulama sayfalarına gömerek uzun süre tespit edilmeden kalabiliyor ve kullanıcı kimlik bilgilerini açık metin (plaintext) olarak ele geçirebiliyor.”
