攻击者正大规模针对公开暴露在互联网上的 Microsoft Exchange 邮件服务器，利用其登录页面注入恶意 JavaScript 键盘记录器（keylogger），以秘密窃取用户凭据。

此次攻击活动已在全球 26 个国家中识别出 65 家受害单位，总感染服务器数量超过 70 台。此次行动是 2024 年 5 月首次发现攻击者针对中东和非洲地区的延续，涉及政府、金融、教育、IT 及物流等多个行业。部分服务器最早可追溯至 2021 年被攻陷。

攻击手法与植入方式

攻击者通常利用 Microsoft Exchange 系列历史漏洞（如 ProxyShell、ProxyLogon）获取系统权限后，在 Outlook Web 登录界面插入恶意 JavaScript 代码，用于拦截用户输入的账号和密码。

恶意代码分为两种类型：

1. 一类会将收集到的凭据写入 Exchange 服务器本地文件中，该文件可通过外网直接访问。

2. 另一类则通过异步请求（XHR）将凭据实时发送到外部服务器或 Telegram 机器人接口。

其中第一类实现极其隐蔽，由于信息保存在本地文件并未即时外传，难以通过网络流量分析发现。部分变种还会收集用户的 Cookie、User-Agent 字符串和时间戳。

第二类恶意脚本使用 Telegram Bot API，将用户名和密码分别编码后通过 HTTP 请求头发送；还有变种结合 DNS 隧道与 HTTPS POST 请求，将凭据绕过组织防御机制进行外传。

利用漏洞（不完全列表）

• CVE-2014-4078：IIS 安全绕过漏洞

• CVE-2020-0796：SMBv3 RCE（“永恒之黑”）

• CVE-2021-26855、26857、26858、27065：Exchange ProxyLogon RCE

• CVE-2021-31206、31207、34473、34523：Exchange ProxyShell 系列漏洞

攻击者通常通过上述漏洞远程执行命令，将 keylogger 脚本写入 Exchange 的认证页面模板中，使其在用户登录时自动加载执行。

受害地区与行业

目前已知受影响的服务器分布在越南、俄罗斯、台湾、中国、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其等地。政府机构是主要目标之一，IT、制造业、物流行业亦受波及。

研究人员警告称，大量仍可被公开访问的 Exchange 服务器未修复上述历史漏洞，极易被持续攻击。由于恶意代码植入在合法登录页面中，攻击行为可以长时间隐蔽存在，持续窃取明文账号密码。