Эксперты Positive Technologies обнаружили новый кейлоггер на главной странице Microsoft Exchange Server, использовавшийся для атак на российских разработчиков ПО. Злоумышленники внедряли вредоносный код, перехватывая логины и пароли пользователей при входе в Outlook Web Access в открытом виде.
Уязвимость в Microsoft Exchange
Атаки на российские компании осуществлялись через скомпрометированные серверы Microsoft Exchange. По данным исследования Positive Technologies, с начала 2025 года жертвами стали девять российских организаций, включая четырех разработчиков программного обеспечения. Внедряя вредоносный код в легитимные страницы аутентификации Outlook, злоумышленники длительное время оставались незамеченными, получая учетные данные.
Специалисты Incident Response PT Expert Security Center (PT ESC) выявили эту ИТ-атаку еще в мае 2024 года. Кейлоггер, внедренный в функцию clkLgn (обработчик кнопки входа), перехватывал учетные данные при авторизации в Outlook Web Access. Помимо разработчиков ПО, среди пострадавших в России – организации из образования, строительства, аэрокосмической отрасли, госсектора и ВПК.
Всего PT ESC зафиксировала около 65 жертв в 26 странах. Наибольшее число зараженных серверов – в России, Вьетнаме и Тайване, причем чаще атакам подвергались госучреждения, ИТ-компании, промышленные и логистические предприятия.
Механизм атаки
Специалист по киберразведке TI-департамента PT ESC Климентий Галкин пояснил, что злоумышленники, взламывая серверы, внедряют вредоносный код в страницы авторизации Microsoft Exchange. Это позволяет им закрепиться в системе и оставаться незамеченными месяцами. Принцип работы кейлоггеров схож, но способы передачи данных различаются: от сохранения в файлы на сервере до пересылки через DNS-туннели или Telegram-боты. В результате хакеры получают доступ к корпоративным учетным записям, обходя недостаточные средства защиты.
Рекомендации Positive Technologies
Для эффективной борьбы с подобными угрозами рекомендуется использовать системы управления уязвимостями, такие как MaxPatrol VM, и сканеры уязвимостей, например XSpider. Защиту веб-приложений и выявление вредоносной сетевой активности обеспечат PT Network Attack Discovery и PT Application Firewall. Решения классов SIEM и EDR необходимы для мониторинга ИБ на критически важных серверах.
Подготовка специалистов
Владельцам бизнеса важно готовить команды кибербезопасности к реальным угрозам на онлайн-полигонах. Сотрудникам необходим практический опыт работы с виртуальной ИТ-инфраструктурой, моделирующей типичную компанию. Совершенствование навыков защиты под руководством экспертов позволяет уверенно противостоять современным киберрискам.
Источник: www.cnews.ru
