Поделиться
Positive Technologies: российские компании были атакованы через зараженные серверы Microsoft Exchange
По данным нового исследования Positive Technologies, с начала 2025 г. девять российских компаний, четыре из которых — разработчики ПО, стали жертвами хакеров в результате компрометации почтового клиента Outlook. Внедрив вредоносный код в легитимные страницы аутентификации, злоумышленники долгое время оставались незамеченными и получали учетные данные пользователей. Об этом CNews сообщили представители Positive Technologies.
В мае 2024 г. специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили атаку с использованием неизвестного кейлоггера, внедренного на главную страницу Microsoft Exchange Server. Как правило, хакеры добавляли вредоносный код в функцию clkLgn (обработчик кнопки входа) и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access.
Аналогичные инциденты были зафиксированы и в 2025 г. Специалисты Positive Technologies обнаружили девять скомпрометированных российских компаний: среди них — разработчики ПО, организации из сферы образования, строительства, авиационно-космической промышленности, госсектора и военно-промышленного комплекса.
Всего команда Incident Response PT ESC выявила около 65 жертв в 26 странах. Больше всего зараженных серверов — в России, Вьетнаме и Тайване. Чаще других атакам подвергались государственные учреждения, а также компании в сфере ИТ, промышленности и логистики.
«В результате компрометации серверов компаний злоумышленники внедряют вредоносный код в страницы аутентификации Microsoft Exchange. Эта техника позволяет им закрепляться в системе и, как показывает статистика, оставаться незамеченными на протяжении нескольких месяцев. Механизм работы кейлоггеров, используемых в таких атаках, схож у большинства пострадавших компаний, но методы передачи данных жертв различаются: от записи в файл на сервере, доступный из Интернета, до отправки данных через DNS-туннели или Telegram-боты. В результате хакеры получают доступ к корпоративным учетным записям, обходя недостаточно эффективные средства защиты», – сказал Климентий Галкин, специалист группы киберразведки TI-департамента PT ESC.
По мнению экспертов, для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак.
Для борьбы с подобными угрозами компаниям рекомендуется применять системы управления уязвимостями, а также сканеры уязвимостей. Защитить веб-приложения и обнаружить вредоносную сетевую активность помогут система поведенческого анализа сетевого трафика и межсетевой экран уровня веб-приложений. А решения класса SIEM и EDR позволят мониторить информационную безопасность на критически важных серверах.
Короткая ссылка
