Сложный кейлоггер атакует серверы Microsoft Exchange в 26 странах
Недавние расследования выявили продолжительную кибератаку с использованием усовершенствованного кейлоггера, нацеленного на серверные системы Microsoft Exchange. Эта угроза впервые была зафиксирована в мае 2024 года и затронула организации в 26 странах, что вновь подчеркнуло важность своевременного обновления программного обеспечения и усиления защиты критически важных серверов.
Суть атаки и механизм действия кейлоггера
Атакуемым объектом стали страницы аутентификации серверов Microsoft Exchange, на которые злоумышленники внедрили вредоносный JavaScript. Вредоносный код перехватывает учетные данные пользователей непосредственно во время ввода, после чего отправляет данные на управляемый ими сервер с помощью XHR-запросов.
Особенностью метода является использование функции-обработчика, которая записывает украденную информацию в файл, расположенный на самом сервере и доступный из внешней сети. Такая реализация обеспечивает злоумышленникам длительное и незаметное присутствие в инфраструктуре жертв, затрудняя обнаружение компрометации.
Два основных типа кейлоггеров и способы отправки данных
- Первый тип кейлоггеров использует выделенные серверы для хранения украденных данных.
- Второй тип маскирует трафик, направляя информацию через легальные публичные сервисы, такие как Telegram или Discord, что снижает подозрительность трафика в сети жертвы.
Дополнительно злоумышленники применяли уникальные идентификаторы для классификации украденных учетных записей по целевым организациям, что значительно повышало эффективность атак.
Число жертв и затронутые отрасли
В ходе расследования было выявлено порядка 65 пострадавших организаций. Среди них преобладают:
- государственные структуры;
- компании в сфере информационных технологий;
- логистические предприятия;
- промышленные организации.
Все атаки базировались на использовании уже известных уязвимостей в Microsoft Exchange, позволяющих внедрять вредоносный код непосредственно в законные страницы аутентификации и собирать конфиденциальные данные без немедленного обнаружения.
Рекомендации по защите и предотвращению атак
Обнаруженная атака подтверждает важность комплексного подхода к управлению уязвимостями в инфраструктуре организаций. В частности, необходимо:
- регулярно обновлять программное обеспечение до последних версий;
- внедрять надежные системы мониторинга и отслеживания уязвимостей;
- использовать специализированные системы обнаружения инцидентов;
- проводить постоянный мониторинг безопасности критически важных серверов, особенно тех, что доступны из Интернета.
Без таких мер риск компрометации учетных данных и последующих атак останется высоким.
Команда реагирования на инциденты Positive Technologies, открывшая и исследовавшая эту атаку, обращает внимание на необходимость своевременного применения патчей и усиления контроля за инфраструктурой, чтобы минимизировать угрозы подобного рода.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Кейлоггеры атакуют Microsoft Exchange: угроза в 26 странах".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.