Девять российских компаний подверглись атаке через Outlook

Outlook стал инструментом хакеров: атакованы российские компании

С начала 2025 года девять российских компаний, включая четыре разработчика программного обеспечения, стали жертвами хакерских атак, связанных с компрометацией Outlook. Об этом сообщает компания Positive Technologies.

По данным специалистов, злоумышленники встраивали вредоносный код в страницы авторизации Microsoft Exchange Server, оставаясь незамеченными и получая доступ к логинам и паролям пользователей. Первый подобный инцидент был зафиксирован в мае 2024 года экспертами Positive Technologies Incident Response (PT Expert Security Center, PT ESC).

Вредоносный код внедрялся в обработчик кнопки входа (clkLgn) на странице авторизации Outlook Web Access. При каждом входе пользователя кейлоггер перехватывал учетные данные в открытом виде.

Подобные атаки продолжаются и в 2025 году. По информации PT ESC, в общей сложности пострадали около 65 организаций из 26 стран. Больше всего заражённых серверов обнаружено в России, Вьетнаме и Тайване. Под атаки чаще всего попадали государственные структуры, IT-компании, промышленные и логистические предприятия.

Анализ инцидентов показал, что хакеры использовали различные каналы для передачи похищенных данных: от сохранения информации в общедоступных файлах до отправки через DNS-туннели и Telegram-ботов. В большинстве случаев атаки проводились с использованием известных уязвимостей Microsoft Exchange, однако некоторые сервера могли быть скомпрометированы и другими методами.

Эксперты рекомендуют компаниям регулярно проводить сканирование инфраструктуры на наличие уязвимостей, использовать системы управления уязвимостями, мониторинг сетевого трафика, защиту веб-приложений, а также оперативное реагирование на инциденты. Повысить готовность сотрудников к киберугрозам помогают регулярные учения и отработка сценариев защиты.