Bug Exchange usato per installare ShadowPad

Bug Exchange usato per installare ShadowPad

Una vulnerabilità di Microsoft Exchange è stata sfruttata per installare la backdoor ShadowPad sui computer di un sistema di building automation.
Una vulnerabilità di Microsoft Exchange è stata sfruttata per installare la backdoor ShadowPad sui computer di un sistema di building automation.

Microsoft ha corretto le vulnerabilità ProxyLogon da oltre un anno, ma ci sono ancora server Exchange vulnerabili, come dimostra la scoperta degli esperti di Kaspersky. Un gruppo di cybercriminali cinesi ha effettuato un attacco contro diverse aziende asiatiche, installando la backdoor ShadowPad sui computer che gestiscono sistemi di building automation.

ShadowPad: grave pericolo per gli utenti

L’attacco iniziale è stato effettuato sfruttando la vulnerabilità CVE-2021-26855 di Microsoft Exchange. La backdoor ShadowPad è stata installata sui computer del sistema di building automation, parte dell’infrastruttura di un’azienda di telecomunicazioni del Pakistan. L’attacco è stato successivamente replicato contro altre aziende asiatiche. Il malware è stato scaricato sul computer come mscoree.dll (un file di Windows) ed eseguito da AppLaunch. I cybercriminali hanno inoltre aggiunto un’attività pianificata per mantenere la persistenza.

Dopo aver ottenuto l’accesso sono stati eseguiti diversi comandi per raccogliere informazioni e rubare le credenziali degli account. Durante alcuni attacchi sono stati utilizzati altri tool (CobaltStrike e Mimikatz) e installata una seconda backdoor (PlugX). Secondo gli esperti di Kaspersky, i cybercriminali cinesi cercavano di rubare dati sensibili. Tuttavia un attacco ai sistemi di building automation (riscaldamento, ventilazione e condizionamento dell’aria o antincendio) può avere conseguenze piuttosto gravi anche per le persone che si trovano nell’edificio.

Questo tipo di attacchi informatici può essere evitato con l’installazione delle patch rilasciate dalle software house. In ogni caso è sempre consigliato l’uso di soluzioni che proteggono tutti i dispositivi aziendali. Tra le migliori sul mercato c’è Bitdefender GravityZone Business Security.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Kaspersky
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 28 giu 2022
Link copiato negli appunti