Исследователи обнаружили ранее неизвестный кейлоггер, встроенный в главную страницу Microsoft Exchange Server. Этот вредоносный код собирал вводимые данные учётных записей в файле, доступном через интернет.
В результате дальнейшего анализа специалисты выявили более 30 жертв в разных странах, большинство из которых были связаны с правительственными структурами. Оказалось, что первая атака произошла ещё в 2021 году. Из-за недостатка информации связать атаку с конкретными хакерами не удалось, но большинство жертв были из стран Африки и Ближнего Востока.
Для внедрения своего стилера хакеры использовали уязвимость ProxyShell серверов Exchange и добавили кейлоггер на главную страницу в функцию clkLgn().
В результате дальнейшего анализа специалисты выявили более 30 жертв в разных странах, большинство из которых были связаны с правительственными структурами. Оказалось, что первая атака произошла ещё в 2021 году. Из-за недостатка информации связать атаку с конкретными хакерами не удалось, но большинство жертв были из стран Африки и Ближнего Востока.
Для внедрения своего стилера хакеры использовали уязвимость ProxyShell серверов Exchange и добавили кейлоггер на главную страницу в функцию clkLgn().
Также они внедрили код в файл logon.aspx, который обрабатывал результаты работы стилера и перенаправлял введённые данные учётных записей в открытый для доступа извне файл.
Таким образом, злоумышленники получали доступ ко всем введённым пользователями данным учётных записей.
Всего было обнаружено более 30 жертв этой атаки. Среди пострадавших оказались банки, IT-компании и учебные заведения. Атакам подверглись такие страны, как Россия, ОАЭ, Кувейт, Оман, Нигер, Нигерия, Эфиопия, Маврикий, Иордания, Ливан и другие. Все пострадавшие уже уведомлены о компрометации их данных.