Специалисты Positive Technologies обнаружили у одного из клиентов ранее неизвестный кейлоггер, встраивамый в главную страницу Microsoft Exchange Server.
Этот кейлоггер собирал вводимые данные учётных записей в файле, доступном по специальному пути из интернета. Эксперты провели анализ и обнаружили 30 жертв этого вируса, большая часть из которых относятся к правительственным структурам разных стран.
По полученным данным, самая ранняя компрометация была осуществлена в 2021 году. Однако из‑за отсутствия дополнительных данных ИБ‑специалисты не смогли атрибутировать эти атаки, но большинство жертв относятся к африканскому и ближневосточному регионам.Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange под названием ProxyShell.
Читать на habr.com