据俄罗斯网络安全公司 Positive Technologies 最新分析,攻击者正大规模针对公开暴露在互联网上的 Microsoft Exchange 邮件服务器,利用其登录页面注入恶意 JavaScript 键盘记录器(keylogger),以秘密窃取用户凭据。
此次攻击活动已在全球 26 个国家中识别出 65 家受害单位,总感染服务器数量超过 70 台。此次行动是 2024 年 5 月首次发现攻击者针对中东和非洲地区的延续,涉及政府、金融、教育、IT 及物流等多个行业。部分服务器最早可追溯至 2021 年被攻陷。
攻击手法与植入方式
攻击者通常利用 Microsoft Exchange 系列历史漏洞(如 ProxyShell、ProxyLogon)获取系统权限后,在 Outlook Web 登录界面插入恶意 JavaScript 代码,用于拦截用户输入的账号和密码。
恶意代码分为两种类型:
-
一类会将收集到的凭据写入 Exchange 服务器本地文件中,该文件可通过外网直接访问。
-
另一类则通过异步请求(XHR)将凭据实时发送到外部服务器或 Telegram 机器人接口。
其中第一类实现极其隐蔽,由于信息保存在本地文件并未即时外传,难以通过网络流量分析发现。部分变种还会收集用户的 Cookie、User-Agent 字符串和时间戳。
第二类恶意脚本使用 Telegram Bot API,将用户名和密码分别编码后通过 HTTP 请求头发送;还有变种结合 DNS 隧道与 HTTPS POST 请求,将凭据绕过组织防御机制进行外传。
利用漏洞(不完全列表)
-
CVE-2014-4078:IIS 安全绕过漏洞
-
CVE-2020-0796:SMBv3 RCE(“永恒之黑”)
-
CVE-2021-26855、26857、26858、27065:Exchange ProxyLogon RCE
-
CVE-2021-31206、31207、34473、34523:Exchange ProxyShel
系列漏洞
攻击者通常通过上述漏洞远程执行命令,将 keylogger 脚本写入 Exchange 的认证页面模板中,使其在用户登录时自动加载执行。
受害地区与行业
目前已知受影响的服务器分布在越南、俄罗斯、台湾、中国、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其等地。政府机构是主要目标之一,IT、制造业、物流行业亦受波及。
研究人员警告称,大量仍可被公开访问的 Exchange 服务器未修复上述历史漏洞,极易被持续攻击。由于恶意代码植入在合法登录页面中,攻击行为可以长时间隐蔽存在,持续窃取明文账号密码。
end
原文始发于微信公众号(信安在线资讯):Microsoft Exchange 邮件服务器遭大规模键盘记录攻击,全球逾 70 台被入侵
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论