Кампанія кейлогерів атакує Outlook Web Access на вразливих серверах Exchange — глобальна загроза

Facepalm: Кіберзагроза кейлогерів на Exchange серверах

Кейлогерні шкідливі програми становлять особливу небезпеку, оскільки вони створені для перехоплення облікових даних та іншої конфіденційної інформації користувачів. Наявність скомпрометованого Exchange сервера уражує безпекову інфраструктуру організації, підсилюючи рівень загрози.

Дослідження Positive Technologies щодо глобальної кампанії

Нещодавно фахівці компанії Positive Technologies оприлюднили звіт про масштабну кампанію з використанням кейлогерів, спрямовану на різні організації світу. Ця кампанія, схожа на атаку, виявлену у 2024 році, торкнулася 65 жертв у 26 країнах, зокрема через вразливості у Microsoft Exchange Server.

Методи компрометації Exchange серверів

Зловмисники отримували контроль над Exchange серверами, використовуючи як відомі, так і нові, раніше не виявлені вразливості. Після проникнення вони встановлювали JavaScript кейлогери, які фіксували логіни та паролі користувачів Outlook Web Access (OWA).

OWA — це веб-інтерфейс Microsoft Outlook, що інтегрований як у платформу Exchange Server, так і в сервіс Exchange Online Microsoft 365. Виявлено, що кейлогери залишались на скомпрометованих серверах довгий час, забезпечуючи стійкий доступ зловмисникам та залишаючись непоміченими.

Типи кейлогерів та механізми збору даних

Дослідники класифікували кейлогери на дві основні категорії:

• Кейлогери, які записували захоплені дані у локальні файли на сервері, доступні пізніше через Інтернет.
• Кейлогери, які передавали викрадені облікові дані через глобальну мережу за допомогою DNS тунелів або Telegram ботів.

Файли з логами містили спеціальні позначки, які допомагали кіберзлочинцям ідентифікувати конкретну скомпрометовану організацію.

Основні постраждалі сектори та географія атак

Більшість атакованих Exchange серверів належали державним установам, повідомляють дослідники Positive Technologies. Інші жертви представляли сфери інформаційних технологій, промисловості та логістики. Найбільша кількість виявлених інфекцій зафіксована у Росії, В’єтнамі та Тайвані, зокрема дев’ять компаній в Росії були скомпрометовані.

Сучасний стан вразливостей Exchange серверів

Експерти підкреслюють, що численні Exchange сервери досі залишаються вразливими через давно відомі прогалини у безпеці. Системний підхід до управління вразливостями є критично важливим для забезпечення безпеки інфраструктури.

Рекомендовані заходи безпеки на платформі Microsoft

Для зменшення ризиків рекомендується впроваджувати сучасні веб-застосунки і системи захисту, здатні виявляти шкідливу мережеву активність. Регулярне сканування файлів, пов’язаних з автентифікацією користувачів, на предмет шкідливого коду також є важливою практикою для своєчасного виявлення загроз.