Специалисты Positive Technologies обнаружили у одного из клиентов ранее неизвестный кейлоггер, встраивамый в главную страницу Microsoft Exchange Server. Этот кейлоггер собирал вводимые данные учётных записей в файле, доступном по специальному пути из интернета. Эксперты провели анализ и обнаружили 30 жертв этого вируса, большая часть из которых относятся к правительственным структурам разных стран. По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Однако из‑за отсутствия дополнительных данных ИБ‑специалисты не смогли атрибутировать эти атаки, но большинство жертв относятся к африканскому и ближневосточному регионам.
![Код главной страницы скомпрометированного сервера Exchange Код главной страницы скомпрометированного сервера Exchange](https://habrastorage.org/getpro/habr/upload_files/d46/42e/197/d4642e1976c924937f8b7327e28058df.png)
Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange под названием ProxyShell. После этого злоумышленники добавляли код кейлоггера на главную страницу. Код хакеры встраивали в функцию clkLgn.
Также в файл logon.aspx хакеры добавили код, обрабатывающий результаты работы стилера и перенаправляющий введённые данные учётных записей в специальный файл, доступ к которому открыт извне. В результате выполнения кода злоумышленникам были доступны введённые пользователями данные учётных записей.
![Код, встаиваемый в главную страницу Exchange Server, в функцию clkLgn() Код, встаиваемый в главную страницу Exchange Server, в функцию clkLgn()](https://habrastorage.org/getpro/habr/upload_files/c56/839/0ad/c568390ad39ab0d79f753b363d416ef1.jpeg)
![Код скомпрометированного файла logon.aspx Код скомпрометированного файла logon.aspx](https://habrastorage.org/getpro/habr/upload_files/64a/c05/572/64ac055728991e76c1224b629968b1a1.png)
![Файл с украденными данными учётных записей Файл с украденными данными учётных записей](https://habrastorage.org/getpro/habr/upload_files/73e/bce/cec/73ebcececbc23f47469b3d61abeccb37.png)
Кроме правительственных структур различных стран, среди жертв были банки, IT‑компании, учебные учреждения из различных стран, включая Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикию, Иорданию, Ливан. Все жертвы были уведомлены о компрометации.