Изображение: recraft
Всего выявлено 65 жертв в 26 странах, а похожая техника атаки была замечена в арсенале группировки (Ex)Cobalt.
По данным нового исследования Positive Technologies, с начала 2025 года девять российских компаний, четыре из которых — разработчики ПО, стали жертвами хакеров в результате компрометации почтового клиента Outlook. Внедрив вредоносный код в легитимные страницы аутентификации, злоумышленники долгое время оставались незамеченными и получали учетные данные пользователей.
В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили атаку с использованием неизвестного кейлоггера, внедренного на главную страницу Microsoft Exchange Server. Как правило, хакеры добавляли вредоносный код в функцию clkLgn (обработчик кнопки входа) и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access.
Аналогичные инциденты были зафиксированы и в 2025 году. Специалисты Positive Technologies обнаружили девять скомпрометированных российских компаний: среди них — разработчики ПО, организации из сферы образования, строительства, авиационно-космической промышленности, госсектора и военно-промышленного комплекса.
Всего команда Incident Response PT ESC выявила около 65 жертв в 26 странах. Больше всего зараженных серверов — в России, Вьетнаме и Тайване. Чаще других атакам подвергались государственные учреждения, а также компании в сфере ИТ, промышленности и логистики.
«В результате компрометации серверов компаний злоумышленники внедряют вредоносный код в страницы аутентификации Microsoft Exchange. Эта техника позволяет им закрепляться в системе и, как показывает статистика, оставаться незамеченными на протяжении нескольких месяцев. Механизм работы кейлоггеров, используемых в таких атаках, схож у большинства пострадавших компаний, но методы передачи данных жертв различаются: от записи в файл на сервере, доступный из Интернета, до отправки данных через DNS-туннели или Telegram-боты. В результате хакеры получают доступ к корпоративным учетным записям, обходя недостаточно эффективные средства защиты», – комментирует Климентий Галкин, специалист группы киберразведки TI-департамента PT ESC.
По мнению экспертов, для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак.
Оригинал публикации на сайте CISOCLUB: "Positive Technologies: российские компании были атакованы через зараженные серверы Microsoft Exchange".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.