Positive Technologies: российские компании были атакованы через зараженные серверы Microsoft Exchange

Всего выявлено 65 жертв в 26 странах, а похожая техника атаки была замечена в арсенале группировки (Ex)Cobalt

По данным нового исследования Positive Technologies, с начала 2025 года девять российских компаний, четыре из которых — разработчики ПО, стали жертвами хакеров в результате компрометации почтового клиента Outlook. Внедрив вредоносный код в легитимные страницы аутентификации, злоумышленники долгое время оставались незамеченными и получали учетные данные пользователей.

В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили атаку с использованием неизвестного кейлоггера¹, внедренного на главную страницу Microsoft Exchange Server. Как правило, хакеры добавляли вредоносный код в функцию clkLgn (обработчик кнопки входа) и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access.

Аналогичные инциденты были зафиксированы и в 2025 году. Специалисты Positive Technologies обнаружили девять скомпрометированных российских компаний: среди них — разработчики ПО, организации из сферы образования, строительства, авиационно-космической промышленности, госсектора и военно-промышленного комплекса.

Всего команда Incident Response PT ESC выявила около 65 жертв в 26 странах. Больше всего зараженных серверов — в России, Вьетнаме и Тайване. Чаще других атакам подвергались государственные учреждения, а также компании в сфере ИТ, промышленности и логистики.

По мнению экспертов, для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак.

Для борьбы с подобными угрозами компаниям рекомендуется применять системы управления уязвимостями, например MaxPatrol VM, а также сканеры уязвимостей, например XSpider. Защитить веб-приложения и обнаружить вредоносную сетевую активность помогут система поведенческого анализа сетевого трафика PT Network Attack Discovery и межсетевой экран уровня веб-приложений PT Application Firewall. А решения класса SIEM и EDR позволят мониторить информационную безопасность на критически важных серверах. Подготовьте свою команду по информационной безопасности к реальным вызовам на онлайн-полигоне Standoff Defend. Тренируйтесь на виртуальной ИТ-инфраструктуре типовой компании, оттачивайте навыки защиты под руководством опытных менторов и выводите профессиональные компетенции на новый уровень.

1. Кейлоггер — это программное или аппаратное средство, используемое для регистрации и сохранения нажатий клавиш на клавиатуре пользователя без его ведома.