Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Microsoft Exchange подвергся атаке в рамках глобальной шпионской операции

04/07/22

Злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager обнаружен Лабораторией Касперского в начале 2022 года и представляет собой вредоносный модуль для ПО веб-сервера Microsoft Internet Information Services (IIS).

Лаборатория Касперского рассказала , что большинство выявленных образцов вредоносных программ по-прежнему развернуты на 34 серверах 24 организаций.

«Бэкдор SessionManager позволяет злоумышленнику сохранять постоянный, устойчивый к обновлениям и скрытый доступ к IT-инфраструктуре организации», — сообщили эксперты компании «Лаборатория Касперского».

«Оказавшись в системе жертвы, киберпреступник может получить доступ к электронной почте компании, установить другие типы вредоносных программ или тайно управлять скомпрометированным сервером, который может быть использован в качестве вредоносной инфраструктуры», - добавили специалисты.

Возможности SessionManager помимо всего прочего включают:

  • удаление и управление произвольными файлами на скомпрометированном сервере;
  • удаленное выполнение команд на устройстве;
  • подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком.

После развертывания вредоносный модуль IIS позволяет своему оператору извлекать учетные данные из системной памяти, собирать информацию из сети жертвы, а также доставлять дополнительную полезную нагрузку, пишут в Securitylab.

content-img(156)

Цели SessionManager

 

Основываясь на анализе жертв и сценарии атаки, эксперты по безопасности Лаборатории Касперского предположили, что SessionManager IIS использовался группировкой Gelsemium в рамках всемирной шпионской операции. APT-группа Gelsemium известна атаками на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока.

Темы:ПреступленияAPT-группыЛККиберугрозыMicrosoft Exchange
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...