Serverele Microsoft Exchange din întreaga lume vizate de un nou malware
Recent, a fost descoperit un nou malware care a implementat backdoor-uri în cadrul serverelor Microsoft Exchange ce aparțin guvernelor și organizațiilor militare din Europa, Orientul Mijlociu, Asia și Africa.
Malware-ul, numit SessionManager, a fost descoperit de către cercetătorii de securitate de la Kaspersky la începutul anului 2022. Acesta este un modul native-code malițios pentru Internet Information Services (IIS) al Microsoft. Acesta a fost exploatat activ fără a fi detectat cel puțin de la începutul lunii martie 2021, imediat după începutul atacurilor ProxyLogon de anul trecut.
Potrivit companiei Kaspersky, backdoor-ul SessionManager permite atacatorilor să mențină un acces persistent, rezistent la actualizări și obfuscat în infrastructura IT a organizației vizate.
Capacitățile SessionManager includ:
- Eliminarea și gestionarea fișierelor arbitrare pe serverele compromise
- Executarea comenzilor de la distanță pe dispozitivele infectate
- Conectarea la stațiile din cadrul rețelei locale a victimei și manipularea traficului de rețea
După implementare, modulul IIS malițios permite atacatorilor să colecteze credențiale din memoria sistemului, să colecteze informații din rețeaua și dispozitivele infectate și să livreze diverse payload-uri precum Mimikatz SSP, ProcDump, etc.
Compania Kaspersky a descoperit malware-ul SessionManager în timp ce analiza backdoor-uri similare cu Owowa, un alt modul IIS malițios implementat de atacatori pe serverele Microsoft Exchange Outlook Web Access la sfârșitul anului 2020 pentru a fura credențiale Exchange.
Sursa: https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-worldwide-backdoored-with-new-malware/
