Для того чтобы встроить стилер, хакеры эксплуатировали известные уязвимости серверов Exchange под названием ProxyShell. После этого злоумышленники добавляли код кейлоггера на главную страницу. Код хакеры встраивали в функцию clkLgn. Также в файл logon.aspx хакеры добавили код, обрабатывающий результаты работы стилера и перенаправляющий введённые данные учётных записей в специальный файл, доступ к которому открыт извне. В результате выполнения кода злоумышленникам были доступны введённые пользователями данные учётных записей.
Кроме правительственных структур различных стран, среди жертв были банки, IT‑компании, учебные учреждения из различных стран, включая Россию, ОАЭ, Кувейт, Оман, Нигер, Нигерию, Эфиопию, Маврикию, Иорданию, Ливан. Все жертвы были уведомлены о компрометации.
Обсудить
