كشف باحثون في الأمن السيبراني عن حملة خبيثة تستهدف خوادم Microsoft Exchange المعروضة على الإنترنت، حيث يقوم المهاجمون بحقن شيفرات خبيثة في صفحات تسجيل الدخول بهدف سرقة بيانات اعتماد المستخدمين (أسماء المستخدمين وكلمات المرور) عبر برمجيات تسجيل المفاتيح (Keyloggers).
ووفقًا لتحليل جديد صادر عن شركة Positive Technologies الروسية الأسبوع الماضي، فقد تم رصد نوعين من شيفرات تسجيل المفاتيح المكتوبة بلغة JavaScript على صفحة تسجيل الدخول الخاصة بـ Outlook:
-
شيفرات تقوم بتخزين البيانات المسروقة في ملف محلي يمكن الوصول إليه عبر الإنترنت.
-
شيفرات ترسل البيانات مباشرة إلى خادم خارجي بمجرد إدخالها.
حملة ممتدة منذ 2021
أشارت الشركة إلى أن هذه الهجمات طالت حتى الآن 65 ضحية في 26 دولة حول العالم، وتُعد امتدادًا لحملة بدأت أولى مؤشرات رصدها في مايو 2024، وكانت تستهدف حينها مؤسسات في إفريقيا والشرق الأوسط.
ومن بين الضحايا الأوائل:
-
هيئات حكومية
-
بنوك
-
شركات تكنولوجيا معلومات
-
مؤسسات تعليمية
مع وجود أدلة على أن أول عملية اختراق تعود إلى عام 2021.
آلية الهجوم
يعتمد المهاجمون على استغلال ثغرات معروفة في خوادم Microsoft Exchange — مثل ثغرة ProxyShell — لزرع شيفرات keylogger داخل صفحة تسجيل الدخول، بحيث تقوم بجمع البيانات مباشرةً من حقول المصادقة.
من الثغرات التي استُغلت:
-
CVE-2014-4078 – تجاوز ميزات الأمان في IIS
-
CVE-2020-0796 – تنفيذ تعليمات برمجية عن بُعد عبر SMBv3
-
CVE-2021-26855 / 26857 / 26858 / 27065 – ثغرات ProxyLogon
-
CVE-2021-31206 / 31207 / 34473 / 34523 – ثغرات ProxyShell
وقال الباحثان “كليمنتي جالكين” و”ماكسيم سوسلوف”:
“تقوم الشيفرة الخبيثة بقراءة البيانات المُدخلة في نموذج المصادقة، ثم ترسلها باستخدام طلب XHR إلى صفحة محددة على الخادم المُخترق.”
الصفحة المستهدفة تحتوي على وظيفة برمجية تقوم بقراءة الطلبات الواردة وتخزين البيانات في ملف محلي على الخادم – يمكن الوصول إليه خارجيًا، مما يزيد من خطر تسريب البيانات.
كما تم اكتشاف نسخ من الشيفرات الخبيثة تجمع بيانات إضافية مثل:
-
ملفات تعريف الارتباط (Cookies)
-
معلومات المتصفح (User-Agent)
-
الطوابع الزمنية (Timestamps)
تهديد خفي يصعب اكتشافه
يُعد هذا الأسلوب فعّالًا من حيث خفض احتمالية الاكتشاف، لأن البيانات لا يتم إرسالها إلى عنوان خارجي ظاهر، بل تُخزن محليًا ويمكن سحبها لاحقًا بهدوء.
أما النوع الثاني من الشيفرات، فيستخدم بوت على تطبيق تيليغرام كقناة إخراج (exfiltration) حيث تُرسل بيانات الدخول عبر طلب GET إلى واجهة Telegram، ويتم تخزين اسم المستخدم وكلمة المرور ضمن ترويسات APIKey و AuthToken.
أساليب خبيثة متقدمة
كما كشف الباحثون عن أسلوب ثالث يعتمد على نفق DNS مدمج مع طلب POST عبر HTTPS لنقل بيانات المصادقة، بهدف تجاوز أنظمة الحماية المؤسسية.
قائمة الأهداف:
-
22 خادمًا حكوميًا
-
شركات تكنولوجيا المعلومات
-
مؤسسات صناعية
-
شركات الخدمات اللوجستية
ومن بين الدول العشر الأكثر استهدافًا:
فيتنام، روسيا، تايوان، الصين، باكستان، لبنان، أستراليا، زامبيا، هولندا، وتركيا.
وخلص التقرير إلى أن:
“عددًا كبيرًا من خوادم Microsoft Exchange المتاحة عبر الإنترنت لا تزال معرضة للثغرات القديمة. ومن خلال إدخال شيفرات خبيثة في صفحات المصادقة الشرعية، يستطيع المهاجمون جمع بيانات الدخول النصية والبقاء غير مرصودين لفترات طويلة.”
