Вредонос собирал вводимые данные учетных записей в файле, доступном по специальному пути из интернета.
В ходе дальнейшего анализа специалисты компании обнаружила более 30 жертв в разных странах, большинство из которых относятся к правительственным структурам. Выяснилось, что самая ранняя компрометация была осуществлена в еще 2021 году. Из-за отсутствия дополнительных данных эти атаки не удалось связать с конкретными хакерами, однако отмечается, что большинство жертв были связаны с африканским и ближневосточным регионами.
Чтобы встроить свой стилер, хакеры эксплуатировали известные уязвимости серверов Exchange —ProxyShell, после чего добавляли кейлоггера на главную страницу, в функцию clkLgn().
Кроме того, в файл logon.aspx хакеры добавляли код, который обрабатывает результат работы стилера и перенаправляет все введенные данные учетных записей в специальный файл, доступ к которому открыт извне.
В ходе дальнейшего анализа специалисты компании обнаружила более 30 жертв в разных странах, большинство из которых относятся к правительственным структурам. Выяснилось, что самая ранняя компрометация была осуществлена в еще 2021 году. Из-за отсутствия дополнительных данных эти атаки не удалось связать с конкретными хакерами, однако отмечается, что большинство жертв были связаны с африканским и ближневосточным регионами.
Чтобы встроить свой стилер, хакеры эксплуатировали известные уязвимости серверов Exchange —ProxyShell, после чего добавляли кейлоггера на главную страницу, в функцию clkLgn().
Кроме того, в файл logon.aspx хакеры добавляли код, который обрабатывает результат работы стилера и перенаправляет все введенные данные учетных записей в специальный файл, доступ к которому открыт извне.
