За последние годы Microsoft Exchange Server стал одной из самых востребованных и широко используемых платформ для корпоративной электронной почты и совместной работы. Именно благодаря своей популярности данные сервера оказываются очень привлекательной целью для киберпреступников. Недавно выявленная и активно развивающаяся кампания атаки показала, насколько опасными могут быть современные угрозы, если злоумышленники используют инновационные методы для кражи конфиденциальных данных пользователей. Неопознанные хакерские группы нацелились на более 70 уязвимых серверов Microsoft Exchange в 26 странах мира. Их цель — внедрение вредоносного JavaScript-кода на страницы входа в систему Outlook с целью кражи паролей и другой учетной информации пользователей.
Технический анализ, проведенный российской компанией Positive Technologies, выявил два основных типа кейлоггеров, внедряемых на атакуемые ресурсы. Первый вариант зловредного кода сохраняет собранные данные в локальные файлы, которые остаются доступными из внешней сети. Это позволяет злоумышленникам извлечь украденную информацию, не генерируя подозрительный трафик, что значительно усложняет обнаружение атаки системами безопасности. Второй тип кейлоггера действует более динамично — он мгновенно отправляет полученные учетные данные на удаленные серверы злоумышленников. Для передачи данных используются разнообразные каналы, среди которых особо выделяется использование бота Telegram и создание DNS-туннеля для обхода защитных механизмов организаций.
Атаки эксплуатируют давно известные уязвимости и дыры в безопасности Microsoft Exchange, среди которых семейство уязвимостей ProxyShell и ProxyLogon. Эти критические ошибки, позволяющие злоумышленникам выполнять удаленный код на целевых серверах, остаются актуальной проблемой, так как многие организации не успевают закрывать старые бреши своевременно. Используя эти уязвимости, преступники вводят вредоносный скрипт прямо в страницу аутентификации, благодаря чему они получают возможность собирать данные пользователей в момент ввода логинов и паролей, не вызывая подозрений. В числе эксплуатируемых уязвимостей — CVE-2021-26855 и CVE-2021-31206, а также ряд проблем с обходом защитных функций сервера. Они позволяют не только внедрять вредоносный код, но и обходить системы контроля и ограничения, что значительно увеличивает потенциальный ущерб от атак.
Обширная кампания охватила разные секторы экономики и государственной власти, с особым фокусом на правительственные учреждения, IT-компании, логистические структуры и образовательные организации. Особенностью таких атак является малозаметность вредоносной активности. Поскольку кейлоггеры работают непосредственно на легитимных страницах аутентификации, традиционные системы мониторинга часто не фиксируют подозрительную активность. Кроме того, использование внутренних файлов для хранения украденных данных исключает необходимость выхода в интернет, что снижает риск обнаружения со стороны систем защиты. Несколько изменчивых вариантов вредоносного программного обеспечения способны дополнительно собирать куки, User-Agent и метки времени, что позволяет злоумышленникам проводить более глубокий анализ действий пользователей и внедрять дальнейшие целевые атаки или обходить защитные меры.
Также была выявлена активность, связанная с использованием некорректно защищенных доменных имен и инфицированных архивов, что свидетельствует о масштабности и профессионализме нападений. Анализ серверов, подвергшихся атакам, показал, что наибольшее количество компрометаций наблюдается в таких странах, как Вьетнам, Россия, Тайвань, Китай, Пакистан, Ливан, Австралия, Замбия, Нидерланды и Турция. Несмотря на географическое разнообразие, характер атак и методы остаются схожими, что указывает на координированную деятельность одной или нескольких хакерских группировок. Расследование Positive Technologies позволило с высокой вероятностью связать внедрение кейлоггеров с хакерской группой, известной под названием PhantomCore. Эта группировка ранее была замечена в распространении вредоносного ПО PhantomDL, а теперь подтверждается её причастность к эксплуатации новой цепочки атак с использованием кейлоггеров Exchange.
Вредоносное ПО, маскирующееся под простые приложения, загружается на компрометированные серверы и используется для дальнейшего распространения и контроля за инфицированными системами. Практическая угроза таких атак заключается в полном компрометации учетных записей сотрудников и администраторов, что может привести к утечкам конфиденциальной информации, финансовым потерям и нарушению работы важных корпоративных и государственных сервисов. Несанкционированный доступ к почтовым ящикам открывает двери для фишинговых кампаний, распространения вредоносного ПО и проведения целенаправленных атак на организации. Для минимизации рисков рекомендуется срочно провести полный аудит безопасности используемых серверов Exchange, проверить актуальность установленных патчей и внести необходимые обновления. Также чрезвычайно важно ограничить количество серверов, доступных напрямую из интернета, и использовать многофакторную аутентификацию для учетных записей с повышенными привилегиями.
Мониторинг входящих и исходящих сетевых соединений на предмет аномалий, внедрение современных систем обнаружения вторжений, а также анализ логов на предмет подозрительных активностей могут значительно повысить шансы раннего выявления подобных угроз. Резюмируя, можно отметить, что уязвимости Microsoft Exchange Server остаются привлекательной целью для злоумышленников, а атаки с использованием кейлоггеров, внедряемых непосредственно в страницы входа, представляют собой серьезную и мало заметную угрозу. Современные организации должны уделять приоритетное внимание безопасности своих инфраструктур, своевременно обновлять программное обеспечение и внедрять комплексные меры по защите учетных данных. Только при таком подходе можно существенно снизить риски успешной реализации подобных масштабных атак в будущем.
![ChatGPT Is Becoming a Religion [video]](/images/F4B17792-CE77-4A6C-89CB-512A90DA095B)
