Microsoft Exchange подвергся атаке в рамках глобальной шпионской операции
04/07/22
Злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager обнаружен Лабораторией Касперского в начале 2022 года и представляет собой вредоносный модуль для ПО веб-сервера Microsoft Internet Information Services (IIS).
Лаборатория Касперского рассказала , что большинство выявленных образцов вредоносных программ по-прежнему развернуты на 34 серверах 24 организаций.
«Бэкдор SessionManager позволяет злоумышленнику сохранять постоянный, устойчивый к обновлениям и скрытый доступ к IT-инфраструктуре организации», — сообщили эксперты компании «Лаборатория Касперского».
«Оказавшись в системе жертвы, киберпреступник может получить доступ к электронной почте компании, установить другие типы вредоносных программ или тайно управлять скомпрометированным сервером, который может быть использован в качестве вредоносной инфраструктуры», - добавили специалисты.
Возможности SessionManager помимо всего прочего включают:
- удаление и управление произвольными файлами на скомпрометированном сервере;
- удаленное выполнение команд на устройстве;
- подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком.
После развертывания вредоносный модуль IIS позволяет своему оператору извлекать учетные данные из системной памяти, собирать информацию из сети жертвы, а также доставлять дополнительную полезную нагрузку, пишут в Securitylab.
Цели SessionManager
Основываясь на анализе жертв и сценарии атаки, эксперты по безопасности Лаборатории Касперского предположили, что SessionManager IIS использовался группировкой Gelsemium в рамках всемирной шпионской операции. APT-группа Gelsemium известна атаками на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока.