16/06/25
По данным нового исследования Positive Technologies, с начала 2025 года девять российских компаний, четыре из которых — разработчики ПО, стали жертвами хакеров в результате компрометации почтового клиента Outlook. Внедрив вредоносный код в легитимные страницы аутентификации, злоумышленники долгое время оставались незамеченными и получали учетные данные пользователей.В мае 2024 года специалисты команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) обнаружили атаку с использованием неизвестного кейлоггера, внедренного на главную страницу Microsoft Exchange Server. Как правило, хакеры добавляли вредоносный код в функцию clkLgn (обработчик кнопки входа) и перехватывали в открытом виде логины и пароли, вводимые пользователями при авторизации в Outlook Web Access.
Аналогичные инциденты были зафиксированы и в 2025 году. Специалисты Positive Technologies обнаружили девять скомпрометированных российских компаний: среди них — разработчики ПО, организации из сферы образования, строительства, авиационно-космической промышленности, госсектора и военно-промышленного комплекса.
Всего команда Incident Response PT ESC выявила около 65 жертв в 26 странах. Больше всего зараженных серверов — в России, Вьетнаме и Тайване. Чаще других атакам подвергались государственные учреждения, а также компании в сфере ИТ, промышленности и логистики.
«В результате компрометации серверов компаний злоумышленники внедряют вредоносный код в страницы аутентификации Microsoft Exchange. Эта техника позволяет им закрепляться в системе и, как показывает статистика, оставаться незамеченными на протяжении нескольких месяцев. Механизм работы кейлоггеров, используемых в таких атаках, схож у большинства пострадавших компаний, но методы передачи данных жертв различаются: от записи в файл на сервере, доступный из Интернета, до отправки данных через DNS-туннели или Telegram-боты. В результате хакеры получают доступ к корпоративным учетным записям, обходя недостаточно эффективные средства защиты», – комментирует Климентий Галкин, специалист группы киберразведки TI-департамента PT ESC.
По мнению экспертов, для встраивания вредоноса злоумышленники эксплуатировали старые бреши в серверах Microsoft Exchange, доступных из интернета. Тем не менее не все скомпрометированные серверы были подвержены каким-либо публично известным уязвимостям. Предположительно, они могли быть взломаны в результате реализации других векторов атак.
Для борьбы с подобными угрозами компаниям рекомендуется применять системы управления уязвимостями, например MaxPatrol VM, а также сканеры уязвимостей, например XSpider. Защитить веб-приложения и обнаружить вредоносную сетевую активность помогут система поведенческого анализа сетевого трафика PT Network Attack Discovery и межсетевой экран уровня веб-приложений PT Application Firewall. А решения класса SIEM и EDR позволят мониторить информационную безопасность на критически важных серверах. Подготовьте свою команду по информационной безопасности к реальным вызовам на онлайн-полигоне Standoff Defend. Тренируйтесь на виртуальной ИТ-инфраструктуре типовой компании, оттачивайте навыки защиты под руководством опытных менторов и выводите профессиональные компетенции на новый уровень.
