Новости В Microsoft Exchange Server найден неизвестный кейлоггер

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Вредоносный код собирает учетные данные и сохраняет их в доступном из интернета файле.


7e6nou9dbqhjphgq5ii8fl5o4oa248po.jpg


Экспертный центр безопасности Positive Technologies (PT Expert Security Center) Для просмотра ссылки Войди или Зарегистрируйся о выявлении <span style="color: #333333; background: white;">ранее неизвестного кейлоггера , который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета.</span>

Обнаружение и анализ атаки

Инцидент был выявлен командой Incident Response Positive Technologies у одного из клиентов компании. <span style="color: #333333; background: white;">Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange — ProxyShell. После этого они добавляли код кейлоггера на главную страницу.</span>

Внедрение вредоносного кода

<span style="color: #333333; background: white;">Код, который хакеры встраивают в главную страницу Exchange Server, в функцию </span>clkLgn():


dkhpy2r9cs8umlmcqvth40ilimgfvqt6.png



znbadcxamml5hko3a3et3a3xgudocw9h.png


<span style="color: #666666; background: white;">Код главной страницы скомпрометированного сервера Exchange</span>

В файл logon.aspx хакеры также добавлили код, который обрабатывает результат работы стилера и перенаправляет введенные данные учетных записей в специальный файл, доступный извне.


2vuwxn4aghw81vi2zgxz1imwae64off3.png


<span style="color: #666666; background: white;">Код скомпрометированного файла logon.aspx</span>

В результате выполнения кода, указанного на рисунке выше, злоумышленникам становятся доступны введенные пользователями данные учетных записей:


p594g1bytizsz00xcudkzjb1abthxmvu.png


<span style="color: #666666; background: white;">Украденные данные учетных записей</span>

Жертвы атаки

Команда Threat Intelligence PT ESC выявила более 30 жертв этой атаки. Большинство из них являются правительственными структурами различных стран. Кроме того, среди пострадавших есть банки, IT-компании и учебные учреждения. Атакованные страны включают Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикий, Иорданию, Ливан и другие. Все жертвы были уведомлены о компрометации.

<span style="color: #333333; background: white;">По полученным данным, самая ранняя компрометация была осуществлена в 2021 году.</span>

Рекомендации по защите

Для проверки факта компрометации необходимо убедиться в отсутствии кода стилера на главной странице сервера Exchange. В случае обнаружения компрометации нужно определить, данные каких учетных записей были украдены, и удалить файл, в котором хакеры сохраняли эти данные. Путь к этому файлу можно найти в logon.aspx. Также важно использовать актуальную версию Microsoft Exchange Server и устанавливать все необходимые обновления.
 
Источник новости
www.securitylab.ru

Похожие темы