Исследователи информационной безопасности из Cybereason выяснили, что злоумышленники взломали компьютерную систему и удерживали контроль над внутренней сетью одного из американских предприятий, используя почтовый веб-сервер. В Cybereason отказались называть компанию, которая пострадала от кибератаки. Известно лишь, что организация занимается предоставлением различных общественных услуг в США.
Специалисты из Cybereason обнаружили в ходе расследования подозрительный DLL-файл, который был загружен на сервер Microsoft Outlook Web App (OWA), применявшийся для удаленного доступа к Outlook. Клиент электронной почты OWA – это один из компонентов Microsoft Exchange Server, который используется для доступа к почтовому ящику Exchange Server с помощью любого веб-браузера. Поскольку OWA выступает в роли связующего звена между корпоративной сетью и Интернетом, он представляет собой прекрасную мишень для хакеров.
Как сообщают эксперты из Cybereason, вследствие того, что аутентификация OWA основана на доменных аккаунтах, любой человек, получивший доступ к серверу OWA, является потенциальным владельцем всех доменных аккаунтов компании.
Эксперты отмечают, что название подозрительного DLL-файла идентично имени официального DLL-файла, используемого в механизме аутентификации OWA. Разница между двумя DLL-файлами была в отсутствии подписи у поддельного файла, который к тому же был загружен из другой папки. Хакеры пользовались DLL-файлом для установки фильтра ISAPI на сервере IIS, который предназначен для фильтрации HTTP-запросов. Благодаря установке фильтра в реестре вредоносное программное обеспечение могло загрузиться после каждой перезагрузки сервера.
Также установка фильтра дала хакерам возможность производить перехват всех HTTP-запросов в незашифрованном виде и определять те из них, что содержали имена и пароли пользователей. Вредоносное программное обеспечение осуществляло сбор всех учетных данных и их хранение в текстовом файле в зашифрованном виде. После того, как эксперты из Cybereason расшифровали этот файл, они обнаружили более 11 тысяч данных для аутентификации, благодаря которым у злоумышленников был полный доступ к учетной информации каждого сотрудника.
Вредоносное программное обеспечение, которое используется в этой кибератаке, также играло роль бэкдора, который позволял писать и выполнять произвольный код на сервере OWA и команды на SQL-серверах.