Входишь в почту — а она уже не твоя: девять российских компаний пробиты через Outlook
NewsMakerПочтовый клиент, который шпионил за тобой.
С начала 2025 года девять российских компаний, включая четыре софтверных разработчика, стали жертвами хакеров из-за компрометации Outlook. Об этом сообщает Positive Technologies. Атакующие встраивали вредоносный код в легитимные страницы входа, оставаясь незамеченными и получая учётные данные пользователей.
Первая подобная атака была обнаружена в мае 2024 года специалистами команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Злоумышленники внедрили кейлоггер на главную страницу Microsoft Exchange Server. Обычно вредонос размещался в функции clkLgn — обработчике кнопки входа — и перехватывал логины и пароли в открытом виде при входе через Outlook Web Access.
Такие инциденты зафиксированы и в 2025 году. PT ESC установил, что всего пострадало около 65 организаций из 26 стран. Наибольшее число заражённых серверов зарегистрировано в России, Вьетнаме и Тайване. Чаще всего атаке подвергались госструктуры, ИТ-компании, промышленные предприятия и логистика.
Анализ показал, что кейлоггеры встраиваются в страницы входа Microsoft Exchange, позволяя хакерам длительное время оставаться в системе. Техника одинакова у большинства пострадавших, но каналы передачи данных различаются: в одних случаях использовалась запись в файл, доступный из интернета, в других — отправка через DNS-туннели или Telegram-ботов .
По мнению специалистов, для внедрения вредоноса использовались уязвимости в Microsoft Exchange, находящиеся в открытом доступе. Однако не все взломанные серверы были подвержены известным уязвимостям — часть из них могла быть скомпрометирована с помощью других векторов.
Для защиты от подобных угроз эксперты рекомендуют использовать системы управления уязвимостями и сканеры, позволяющие своевременно выявлять слабые места в инфраструктуре. Дополнительную безопасность обеспечивают решения для анализа сетевого трафика и защиты веб-приложений. Также важно внедрять системы мониторинга безопасности и реагирования на инциденты, особенно на критичных серверах. Повысить готовность сотрудников к реальным атакам помогает практическая отработка сценариев защиты на специализированных онлайн-платформах.
С начала 2025 года девять российских компаний, включая четыре софтверных разработчика, стали жертвами хакеров из-за компрометации Outlook. Об этом сообщает Positive Technologies. Атакующие встраивали вредоносный код в легитимные страницы входа, оставаясь незамеченными и получая учётные данные пользователей.
Первая подобная атака была обнаружена в мае 2024 года специалистами команды Incident Response экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Злоумышленники внедрили кейлоггер на главную страницу Microsoft Exchange Server. Обычно вредонос размещался в функции clkLgn — обработчике кнопки входа — и перехватывал логины и пароли в открытом виде при входе через Outlook Web Access.
Такие инциденты зафиксированы и в 2025 году. PT ESC установил, что всего пострадало около 65 организаций из 26 стран. Наибольшее число заражённых серверов зарегистрировано в России, Вьетнаме и Тайване. Чаще всего атаке подвергались госструктуры, ИТ-компании, промышленные предприятия и логистика.
Анализ показал, что кейлоггеры встраиваются в страницы входа Microsoft Exchange, позволяя хакерам длительное время оставаться в системе. Техника одинакова у большинства пострадавших, но каналы передачи данных различаются: в одних случаях использовалась запись в файл, доступный из интернета, в других — отправка через DNS-туннели или Telegram-ботов .
По мнению специалистов, для внедрения вредоноса использовались уязвимости в Microsoft Exchange, находящиеся в открытом доступе. Однако не все взломанные серверы были подвержены известным уязвимостям — часть из них могла быть скомпрометирована с помощью других векторов.
Для защиты от подобных угроз эксперты рекомендуют использовать системы управления уязвимостями и сканеры, позволяющие своевременно выявлять слабые места в инфраструктуре. Дополнительную безопасность обеспечивают решения для анализа сетевого трафика и защиты веб-приложений. Также важно внедрять системы мониторинга безопасности и реагирования на инциденты, особенно на критичных серверах. Повысить готовность сотрудников к реальным атакам помогает практическая отработка сценариев защиты на специализированных онлайн-платформах.