EN
 

حمله هکرها به بیش از ۷۰ سرور مایکروسافت اکسچنج برای سرقت اطلاعات کاربران

  1. سرتفا»
  2. آخرین خبرها»
  3. آسیب‌پذیری‌ها
۰۹ تیر ۱۴۰۴

تحقیقات تازه نشان می‌دهد مهاجمان ناشناس با هدف سرقت اطلاعات ورود، ده‌ها سرور مایکروسافت اکسچنج را در نقاط مختلف جهان هدف حمله قرار داده‌اند.

به گزارش شرکت امنیت سایبری Positive Technologies، در این حملات که نخستین‌بار اردیبهشت ۱۴۰۳ شناسایی شد، کدهای مخربی به صفحه ورود ایمیل اوت‌لوک (Outlook Web Access) تزریق شده است که اطلاعات کاربران را به‌طور مخفیانه جمع‌آوری می‌کند. این شرکت می‌گوید تاکنون ۶۵ سازمان در ۲۶ کشور قربانی شده‌اند و شواهدی وجود دارد که نخستین نفوذها به سال ۲۰۲۱ بازمی‌گردد.

به گفته محققان، دو نوع کد کی‌لاگر جاوااسکریپت در این حملات استفاده شده است. بعضی از این نمونه کدها داده‌ها را در فایل‌هایی روی سرور ذخیره می‌کنند که از بیرون قابل‌دسترسی است و در نمونه‌های دیگر بلافاصله اطلاعات به سرورهای خارجی ارسال می‌شود.

مهاجمان برای نفوذ، از آسیب‌پذیری‌های شناخته‌شده‌ای مانند نقص‌های مجموعه ProxyShell و ProxyLogon بهره گرفته‌اند. از جمله این آسیب‌پذیری‌ها می‌توان به موارد زیر اشاره کرد:

  • CVE-2014-4078 (دور زدن ویژگی امنیتی در IIS)
  • CVE-2020-0796 (اجرای کد از راه دور در SMBv3)
  • CVE-2021-26855، CVE-2021-26857، CVE-2021-26858 و CVE-2021-27065 (آسیب‌پذیری‌های بحرانی در Exchange)
  • CVE-2021-31206 و CVE-2021-34473 (نقص‌های امنیتی ProxyShell)

محققان توضیح داده‌اند کدهای مخرب داده‌های فرم احراز هویت را خوانده و از طریق درخواست‌های XHR به یک صفحه خاص روی سرور آلوده ارسال می‌کند. این صفحه سپس اطلاعات را در فایلی ذخیره می‌کند که مهاجم می‌تواند از راه دور به آن دسترسی داشته باشد. برخی نسخه‌های این ابزار حتی کوکی‌های کاربر، User-Agent و زمان ورود را هم ثبت می‌کنند. این روش به‌دلیل نبود ترافیک خروجی غیرمعمول، احتمال شناسایی را به‌شدت کاهش می‌دهد.

نوع دوم این حملات، داده‌ها را به‌وسیله بات تلگرام استخراج می‌کند. در این روش، اطلاعات لاگین و گذرواژه به‌صورت رمزگذاری‌شده در هدرهای درخواست HTTP ارسال می‌شود. همچنین در برخی نمونه‌ها، تونل‌سازی DNS در ترکیب با درخواست‌های HTTPS POST برای انتقال اطلاعات استفاده شده است.

بر اساس یافته‌های این گزارش، ۲۲ سرور متعلق به سازمان‌های دولتی آلوده شده‌اند و باقی موارد در شرکت‌های فناوری، صنایع و لجستیک شناسایی شده‌اند. در میان کشورهایی که بیشترین هدف‌گیری را تجربه کرده‌اند، ویتنام، روسیه، تایوان، چین، پاکستان، لبنان، استرالیا، زامبیا، هلند و ترکیه دیده می‌شوند.

کارشناسان هشدار داده‌اند تعداد زیادی از سرورهای اکسچنچ که همچنان از طریق اینترنت در دسترس عموم‌اند، به‌روزرسانی نشده و در برابر این آسیب‌پذیری‌ها مصون نیستند. به گفته محققان، جاسازی کدهای مخرب در صفحات ورود رسمی موجب می‌شود مهاجمان برای مدت طولانی و بدون جلب‌توجه، اطلاعات محرمانه کاربران را به‌صورت متن ساده گردآوری کنند.

توضیحات بیشتر:

Hackers Target Over 70 Microsoft Exchange Servers to Steal Credentials via Keyloggers

آسیب‌پذیری

به اشتراک بگذارید

بازگشت به بالا

سوء‌استفاده مجرمان سایبری از هوش مصنوعی‌های دستکاری‌شده
ممنوعیت استفاده از واتس‌اپ در مجلس نمایندگان آمریکا