|
Разработчици от компанията, доставяща услуги в областта на информационната сигурност Cybereason алармираха за регистрирана от тях атака към майкрософтската уеб-базирана имейл система Outlook Web в организация, поддържаща 19 000 крайни точки. Специалистите са се натъкнали на използван от неизвестна киберпрестъпна групировка заплаха с APT (advanced persistent threat) функционалности, което означава, че цел на атакуващата страна не е бързото компрометиране и кражба на данните, а дълготрайна престъпна активност, целяща събирането на голям обем от данни.Атаката е разкрита, след като екип по безопасността на техен клиент е забелязал необичайно поведение в имейл сървъра на организацията.Cybereason открили подозрителен .dll файл, който се зареждал в сървъра на Outlook Web App (OWA), компонент от Microsoft Exchange Server. Името му съвпадало с това на „чист” .dll файл, но за разлика от него бил неподписан и се зареждал от различна директория. „Този, който успее да получи достъп до OWA сървъра се превръща в собственик на авторизационните данни за домейна на цялата организация. Хакерите са инсталирали зловреден OWAAUTH.DLL файл, използван от OWA в авторизиационния механизъм, който е отговорен за вписването на потребителите в сървъра на Active Directory, използван от средата. Отделно от това, този файл е виновен за инсталирането на ISAPI филтър в IIS сървъра, филтрирайки HTTP заявките”, обясняват от Cybereason. Именно тези действали са помогнали на атакуващата страна да прихване всички заявки във вид на прост текст след SSL/TLS декриптирането им, споделят разработчиците, а инсталирането на филтър IIS сървъра след замяната на чистия файл със зловредния му клонинг, позволило на заплахата да се зарежда с всяко стартиране на сървъра.Атаката е била спряна, като специалистите съветват екипите по сигурността в организациите да не забравят да следят за всяка промяна в конфигурациите на подопечните им системи, тъй като компрометирането на системите може да навреди изключително много на цялата организация. |
|
