- 13,850
- 20
- 8 Ноя 2022
Вредоносный код собирает учетные данные и сохраняет их в доступном из интернета файле.
Экспертный центр безопасности Positive Technologies (PT Expert Security Center) Для просмотра ссылки Войдиили Зарегистрируйся о выявлении <span style="color: #333333; background: white;">ранее неизвестного кейлоггера , который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета.</span>
Обнаружение и анализ атаки
Инцидент был выявлен командой Incident Response Positive Technologies у одного из клиентов компании. <span style="color: #333333; background: white;">Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange — ProxyShell. После этого они добавляли код кейлоггера на главную страницу.</span>
Внедрение вредоносного кода
<span style="color: #333333; background: white;">Код, который хакеры встраивают в главную страницу Exchange Server, в функцию </span>clkLgn():
<span style="color: #666666; background: white;">Код главной страницы скомпрометированного сервера Exchange</span>
В файл logon.aspx хакеры также добавлили код, который обрабатывает результат работы стилера и перенаправляет введенные данные учетных записей в специальный файл, доступный извне.
<span style="color: #666666; background: white;">Код скомпрометированного файла logon.aspx</span>
В результате выполнения кода, указанного на рисунке выше, злоумышленникам становятся доступны введенные пользователями данные учетных записей:
<span style="color: #666666; background: white;">Украденные данные учетных записей</span>
Жертвы атаки
Команда Threat Intelligence PT ESC выявила более 30 жертв этой атаки. Большинство из них являются правительственными структурами различных стран. Кроме того, среди пострадавших есть банки, IT-компании и учебные учреждения. Атакованные страны включают Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикий, Иорданию, Ливан и другие. Все жертвы были уведомлены о компрометации.
<span style="color: #333333; background: white;">По полученным данным, самая ранняя компрометация была осуществлена в 2021 году.</span>
Рекомендации по защите
Для проверки факта компрометации необходимо убедиться в отсутствии кода стилера на главной странице сервера Exchange. В случае обнаружения компрометации нужно определить, данные каких учетных записей были украдены, и удалить файл, в котором хакеры сохраняли эти данные. Путь к этому файлу можно найти в logon.aspx. Также важно использовать актуальную версию Microsoft Exchange Server и устанавливать все необходимые обновления.
Экспертный центр безопасности Positive Technologies (PT Expert Security Center) Для просмотра ссылки Войди
Обнаружение и анализ атаки
Инцидент был выявлен командой Incident Response Positive Technologies у одного из клиентов компании. <span style="color: #333333; background: white;">Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange — ProxyShell. После этого они добавляли код кейлоггера на главную страницу.</span>
Внедрение вредоносного кода
<span style="color: #333333; background: white;">Код, который хакеры встраивают в главную страницу Exchange Server, в функцию </span>clkLgn():
<span style="color: #666666; background: white;">Код главной страницы скомпрометированного сервера Exchange</span>
В файл logon.aspx хакеры также добавлили код, который обрабатывает результат работы стилера и перенаправляет введенные данные учетных записей в специальный файл, доступный извне.
<span style="color: #666666; background: white;">Код скомпрометированного файла logon.aspx</span>
В результате выполнения кода, указанного на рисунке выше, злоумышленникам становятся доступны введенные пользователями данные учетных записей:
<span style="color: #666666; background: white;">Украденные данные учетных записей</span>
Жертвы атаки
Команда Threat Intelligence PT ESC выявила более 30 жертв этой атаки. Большинство из них являются правительственными структурами различных стран. Кроме того, среди пострадавших есть банки, IT-компании и учебные учреждения. Атакованные страны включают Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикий, Иорданию, Ливан и другие. Все жертвы были уведомлены о компрометации.
<span style="color: #333333; background: white;">По полученным данным, самая ранняя компрометация была осуществлена в 2021 году.</span>
Рекомендации по защите
Для проверки факта компрометации необходимо убедиться в отсутствии кода стилера на главной странице сервера Exchange. В случае обнаружения компрометации нужно определить, данные каких учетных записей были украдены, и удалить файл, в котором хакеры сохраняли эти данные. Путь к этому файлу можно найти в logon.aspx. Также важно использовать актуальную версию Microsoft Exchange Server и устанавливать все необходимые обновления.
- Источник новости
- www.securitylab.ru
