Хакеры использовали почтовый web-сервер для взлома систем американской компании

image

Теги: вредоносное ПО, бэкдор, почтовый сервер

DLL-файл устанавливал на сервер фильтр ISAPI, предназначенный для фильтрации HTTP-запросов.

ИБ-исследователи из Cybereason обнаружили, что злоумышленникам удалось взломать компьютерную систему и держать под контролем внутреннюю сеть одного американского предприятия с помощью почтового web-сервера. Cybereason не называет пострадавшую от атаки компанию, однако известно, что она предоставляет различные общественные услуги в США.

В ходе расследования эксперты из Cybereason обнаружили подозрительный DLL-файл, загруженный на сервер Microsoft Outlook Web App (OWA), который использовался для удаленного доступа к Outlook. Клиент электронной почты OWA является компонентом Microsoft Exchange Server и используется для доступа к почтовому ящику Exchange Server практически через любой web-браузер. Так как OWA выполняет роль связующего звена между внутренней сетью и интернетом, он является прекрасной мишенью для злоумышленников.

«Из-за того, что аутентификация OWA основана на доменных учетных записях, любой, кто получил доступ к серверу OWA, становится потенциальным «владельцем» всех доменных учетных записей компании», - рассказывают эксперты из Cybereason.

Специалисты отметили, что подозрительный DLL-файл имел аналогичное имя, что и официальный DLL-файл, используемый в механизме аутентификации OWA. Разница заключалась в том, что поддельный DLL-файл был без подписи и загружен из другой папки. Злоумышленники использовали DLL-файл для установки фильтра ISAPI на сервере IIS, предназначенного для фильтрации HTTP-запросов. Установка фильтра в реестре позволяла вредоносному ПО загружаться после каждой перезагрузки сервера.

Установка фильтра позволила злоумышленникам перехватывать все HTTP-запросы в незашифрованном виде и определять, какие из них содержали имена пользователей и пароли. Вредоносное ПО собирало все учетные данные и хранило их в зашифрованном виде в текстовом файле. После расшифровки этого файла экспертам из Cybereason удалось обнаружить более 11 тысяч аутентификационных данных, которые позволяли хакерам получить полный доступ к учетным данным каждого сотрудника.

Вредоносное ПО, используемое в данной атаке, также выступало в качестве бэкдора, позволяющего читать, писать и выполнять команды на SQL-серверах, а также писать и выполнять произвольный код на сервере OWA.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.