卡巴斯基專家發(fā)現(xiàn)了一個(gè)難以檢測(cè)的SessionManager后門程序���,該后門被設(shè)置為互聯(lián)網(wǎng)信息服務(wù)(IIS)中的惡意模塊���,IIS是由微軟編輯的常用Web服務(wù)器。一旦傳播��,SessionManager就會(huì)進(jìn)行廣泛的惡意活動(dòng)����,從收集電子郵件到完全控制受害者的基礎(chǔ)設(shè)施。
這一新發(fā)現(xiàn)的后門程序在2021年3月底首次被利用�,目前已經(jīng)攻擊了非洲、南亞���、歐洲和中東的政府機(jī)構(gòu)和非政府組織����。到目前為止,大多數(shù)目標(biāo)組織仍然受到感染�。
2021年12月,卡巴斯基發(fā)現(xiàn)了“Owowa”��,這是一個(gè)以前未知的IIS模塊���,可以竊取用戶在登錄Outlook Web Access(OWA)時(shí)輸入的憑據(jù)�。自那時(shí)起����,卡巴斯基專家一直在密切關(guān)注網(wǎng)絡(luò)犯罪活動(dòng)的新機(jī)會(huì)——很明顯,在IIS中部署后門是威脅行為者的趨勢(shì)��,他們之前利用了微軟Exchange服務(wù)器內(nèi)的一個(gè)“ProxyLogon型”漏洞�。在最近的一次調(diào)查中,卡巴斯基專家發(fā)現(xiàn)了一個(gè)新的不受歡迎的模塊后門程序���,名為SessionManager���。
SessionManager后門程序使威脅行為者能夠?qū)δ繕?biāo)組織的IT基礎(chǔ)架構(gòu)進(jìn)行持久、抗更新和相當(dāng)隱秘的訪問。一旦被釋放到受害者系統(tǒng)中�,該后門幕后的網(wǎng)絡(luò)罪犯就可以訪問公司電子郵件,通過安裝其他類型的惡意軟件來更新進(jìn)一步的惡意訪問�����,或者秘密管理被入侵的服務(wù)器����,這些服務(wù)器可以被用作惡意基礎(chǔ)設(shè)施。
SessionManager的一個(gè)明顯特征是其低檢測(cè)率�������?ò退够芯咳藛T在2022年初首次發(fā)現(xiàn)��,在大多數(shù)流行的在線文件掃描服務(wù)中���,一些后門樣本仍未被標(biāo)記為惡意。截止到目前�,根據(jù)卡巴斯基研究人員進(jìn)行的互聯(lián)網(wǎng)掃描,SessionManager仍被部署在90%以上的目標(biāo)組織中�����。
總體來看,來自歐洲�����,中東����,南亞和非洲的24個(gè)組織的34臺(tái)服務(wù)器受到SessionManager的入侵。運(yùn)營SessionManager的威脅者對(duì)非政府組織和政府實(shí)體表現(xiàn)出特別的興趣��,但醫(yī)療組織���、石油公司��、運(yùn)輸公司等也是其攻擊目標(biāo)���。
由于類似的受害者類型和常見的“OwlProxy”變體的使用,卡巴斯基專家認(rèn)為�����,惡意IIS模塊可能已被GELSEMIUM威脅行為者利用���,作為其間諜攻擊行動(dòng)的一部分����。
Pierre Delcher 卡巴斯基全球研究與分析團(tuán)隊(duì)高級(jí)安全研究員
“自2021年第一季度以來,利用Exchange服務(wù)器的漏洞一直是網(wǎng)絡(luò)罪犯入侵目標(biāo)基礎(chǔ)設(shè)施的最常用手段���。值得注意的是����,它促成了一系列長期未被注意的網(wǎng)絡(luò)間諜活動(dòng)��。最近發(fā)現(xiàn)的SessionManager很難在一年內(nèi)被檢測(cè)出來�,且仍然部署在野外。
面對(duì)大規(guī)模和前所未有的服務(wù)器端漏洞利用�,大多數(shù)網(wǎng)絡(luò)安全人員都忙于調(diào)查和應(yīng)對(duì)首次發(fā)現(xiàn)的犯罪行為���。因此����,仍有可能在幾個(gè)月或幾年后發(fā)現(xiàn)相關(guān)的惡意活動(dòng)���,而且這種情況可能會(huì)持續(xù)很長時(shí)間����。”
“了解實(shí)際和最近發(fā)生的網(wǎng)絡(luò)威脅對(duì)于公司保護(hù)其資產(chǎn)至關(guān)重要����。這類攻擊可能會(huì)給公司造成嚴(yán)重的經(jīng)濟(jì)或信譽(yù)損失,還可以干擾被攻擊目標(biāo)的運(yùn)營�����。威脅情報(bào)是能夠可靠和及時(shí)預(yù)測(cè)此類威脅的唯一組件�。就Exchange服務(wù)器而言,怎么強(qiáng)調(diào)其安全性都不為過:過去一年的漏洞已經(jīng)使其成為完美的攻擊目標(biāo)��,無論攻擊者的惡意意圖如何����,都應(yīng)該仔細(xì)審核和監(jiān)控隱藏的植入物,如果還沒有這樣做的話�。”
