Обнаружен ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server

Портал Хакер.ru сообщает, что команда Threat Intelligence российской компании Positive Technologies выявила новое вредоносное ПО в популярном продукте от Microsoft.

Расследуя инцидент у одного из своих клиентов, исследователи обнаружили ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server. Он собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета.

В ходе дальнейшего анализа специалисты компании обнаружила более 30 жертв в разных странах, большинство из которых относятся к правительственным структурам. Выяснилось, что самая ранняя компрометация была осуществлена в еще 2021 году. Из-за отсутствия дополнительных данных эти атаки не удалось связать с конкретными хакерами, однако отмечается, что большинство жертв были связаны с африканским и ближневосточным регионами.

Чтобы встроить свой стилер, хакеры эксплуатировали известные уязвимости серверов Exchange — ProxyShell, после чего добавляли кейлоггер на главную страницу, в функцию clkLgn().

Кроме того, в файл logon.aspx хакеры добавляли код, который обрабатывает результат работы стилера и перенаправляет все введенные данные учетных записей в специальный файл, доступ к которому открыт извне.

Код скомпрометированного файла logon.aspx

Таким образом, злоумышленникам становились доступны все введенные пользователями данные учетных записей.

Как было сказано выше, в общей сложности специалисты обнаружили более 30 жертв этой атаки. Помимо правительственных структур, среди пострадавших были  банки, IT-компании, учебные учреждения. В число атакованных стран вошли: Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие. В настоящее время всех пострадавших уже уведомили о компрометации.

Эксперты предлагают следующие рекомендации по защите: 

Для проверки факта компрометации необходимо убедиться в отсутствии кода стилера на главной странице сервера Exchange. В случае обнаружения компрометации нужно определить, данные каких учетных записей были украдены, и удалить файл, в котором хакеры сохраняли эти данные. Путь к этому файлу можно найти в logon.aspx. Также важно использовать актуальную версию Microsoft Exchange Server и устанавливать все необходимые обновления.

С заботой о вашей безопасности, команда Origin Security

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *