في حملة تجسس إلكتروني مقلقة، رصد باحثون من شركة Positive Technologies هجمات تستهدف خوادم Microsoft Exchange المكشوفة للعامة، حيث يتم إدخال أكواد خبيثة إلى صفحات تسجيل الدخول بهدف سرقة بيانات الاعتماد الخاصة بالمستخدمين.
أنماط الأكواد الخبيثة المكتشفة
حدد الباحثون نوعين من أكواد Keylogger مكتوبة بلغة JavaScript تم حقنها في صفحة تسجيل الدخول لخدمة Outlook:
-
النمط الأول: يقوم بحفظ البيانات المجمعة في ملف محلي يمكن الوصول إليه عبر الإنترنت.
-
النمط الثاني: يرسل البيانات مباشرة إلى خادم خارجي.
حجم الاستهداف ونطاق الضحايا
وفقًا للتحليل، فإن هذه الحملة استهدفت 65 جهة في 26 دولة حول العالم، وهي امتداد لحملة تم اكتشافها أول مرة في مايو 2024 والتي طالت جهات في إفريقيا والشرق الأوسط.
في ذلك الوقت، أبلغت الشركة عن إصابة ما لا يقل عن 30 جهة تشمل:
-
جهات حكومية
-
بنوك
-
شركات تقنية
-
مؤسسات تعليمية
وتشير الأدلة إلى أن أول خرق أمني حدث في عام 2021.
كيفية تنفيذ الهجوم
تعتمد سلسلة الهجوم على استغلال ثغرات معروفة في Microsoft Exchange مثل ProxyShell لحقن الأكواد الخبيثة في صفحة تسجيل الدخول. ولا تزال هوية الجهات المهاجمة مجهولة حتى الآن.
الثغرات الأمنية المستخدمة تشمل:
-
CVE-2014-4078– تجاوز ميزات الأمان في IIS -
CVE-2020-0796– تنفيذ أوامر عن بُعد عبر SMBv3 -
CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065– ثغرات ProxyLogon -
CVE-2021-31206, CVE-2021-31207, CVE-2021-34473, CVE-2021-34523– ثغرات ProxyShell
آليات جمع البيانات
أوضح الباحثان “كليمنتي غالكين” و”ماكسيم سوسلوف” أن الكود الخبيث:
-
يقرأ بيانات نموذج تسجيل الدخول
-
يرسلها باستخدام طلب XHR إلى صفحة معينة في الخادم المصاب
ويحتوي الكود في الجهة الخلفية على دالة تقوم بقراءة الطلب وكتابة البيانات في ملف على الخادم يمكن الوصول إليه من الخارج.
قدرات إضافية
أظهرت بعض النسخ من Keylogger قدرتها على جمع:
-
ملفات تعريف الارتباط (Cookies)
-
سلاسل User-Agent
-
الطوابع الزمنية (Timestamps)
وتُعد هذه الطريقة فعالة نظرًا لأن عملية جمع البيانات لا تتطلب حركة مرور خارجية، مما يقلل من احتمالية الاكتشاف.
وسائل أخرى لتسريب البيانات
تم اكتشاف وسيلة ثانية يستخدم فيها المهاجمون بوت على Telegram كجهة استقبال للبيانات من خلال:
-
طلبات GET من نوع XHR
-
ترميز بيانات تسجيل الدخول في رؤوس
APIKeyوAuthToken
كما تم رصد طريقة ثالثة تعتمد على:
-
نفق عبر بروتوكول DNS
-
مرفق بطلب HTTPS POST لإرسال بيانات الاعتماد وتجاوز وسائل الدفاع المؤسسية
أبرز الضحايا
-
22 خادمًا حكوميًا تأثروا بالهجوم، تلتها قطاعات التقنية، والصناعة، والخدمات اللوجستية.
-
أبرز الدول المستهدفة: فيتنام، روسيا، تايوان، الصين، باكستان، لبنان، أستراليا، زامبيا، هولندا، تركيا.
توصيات الباحثين
“لا تزال العديد من خوادم Microsoft Exchange المتاحة عبر الإنترنت عرضة لثغرات قديمة. ومن خلال إدراج أكواد خبيثة في صفحات التوثيق الشرعية، يمكن للمهاجمين البقاء دون اكتشاف لفترات طويلة وجمع بيانات المستخدمين بنص واضح.”
