Microsoft ha corretto le vulnerabilità ProxyLogon da oltre un anno, ma ci sono ancora server Exchange vulnerabili, come dimostra la scoperta degli esperti di Kaspersky. Un gruppo di cybercriminali cinesi ha effettuato un attacco contro diverse aziende asiatiche, installando la backdoor ShadowPad sui computer che gestiscono sistemi di building automation.
ShadowPad: grave pericolo per gli utenti
L’attacco iniziale è stato effettuato sfruttando la vulnerabilità CVE-2021-26855 di Microsoft Exchange. La backdoor ShadowPad è stata installata sui computer del sistema di building automation, parte dell’infrastruttura di un’azienda di telecomunicazioni del Pakistan. L’attacco è stato successivamente replicato contro altre aziende asiatiche. Il malware è stato scaricato sul computer come mscoree.dll (un file di Windows) ed eseguito da AppLaunch. I cybercriminali hanno inoltre aggiunto un’attività pianificata per mantenere la persistenza.
Dopo aver ottenuto l’accesso sono stati eseguiti diversi comandi per raccogliere informazioni e rubare le credenziali degli account. Durante alcuni attacchi sono stati utilizzati altri tool (CobaltStrike e Mimikatz) e installata una seconda backdoor (PlugX). Secondo gli esperti di Kaspersky, i cybercriminali cinesi cercavano di rubare dati sensibili. Tuttavia un attacco ai sistemi di building automation (riscaldamento, ventilazione e condizionamento dell’aria o antincendio) può avere conseguenze piuttosto gravi anche per le persone che si trovano nell’edificio.
Questo tipo di attacchi informatici può essere evitato con l’installazione delle patch rilasciate dalle software house. In ogni caso è sempre consigliato l’uso di soluzioni che proteggono tutti i dispositivi aziendali. Tra le migliori sul mercato c’è Bitdefender GravityZone Business Security.
Ti potrebbe interessare
28 giu 2022