Ερευνητές εντόπισαν ένα νέο κακόβουλο λογισμικό, το οποίο οι απειλητικοί φορείς χρησιμοποιούν τους τελευταίους 15 μήνες για να ανοίξουν κερκόπορτα σε διακομιστές Microsoft Exchange μετά την παραβίασή τους.

Με την ονομασία SessionManager, το κακόβουλο λογισμικό εμφανίζεται ως νόμιμη μονάδα για τις υπηρεσίες Internet Information Services (IIS), τον διακομιστή ιστού που είναι εγκατεστημένος από προεπιλογή στους διακομιστές Exchange. Οι οργανισμοί συχνά αναπτύσσουν ενότητες IIS για τον εξορθολογισμό συγκεκριμένων διαδικασιών στην υποδομή ιστού τους. Οι ερευνητές της εταιρείας ασφάλειας Kaspersky εντόπισαν 34 διακομιστές που ανήκουν σε 24 οργανισμούς και έχουν μολυνθεί με το SessionManager από τον Μάρτιο του 2021. Από τις αρχές αυτού του μήνα, σύμφωνα με την Kaspersky, 20 οργανισμοί παρέμεναν μολυσμένοι.

Οι κακόβουλες ενότητες IIS προσφέρουν ένα ιδανικό μέσο για την ανάπτυξη ισχυρών, επίμονων και αθόρυβων backdoors. Μόλις εγκατασταθούν, θα ανταποκρίνονται σε ειδικά διαμορφωμένα αιτήματα HTTP που αποστέλλονται από τον χειριστή δίνοντας εντολή στον διακομιστή να συλλέγει μηνύματα ηλεκτρονικού ταχυδρομείου, να προσθέτει περαιτέρω κακόβουλη πρόσβαση ή να χρησιμοποιεί τους μολυσμένους διακομιστές για μυστικούς σκοπούς. Για το ανεκπαίδευτο μάτι, τα αιτήματα HTTP φαίνονται αδιάφορα, παρόλο που δίνουν στον χειριστή πλήρη έλεγχο του μηχανήματος.

"Τέτοιες κακόβουλες μονάδες συνήθως αναμένουν φαινομενικά νόμιμα αλλά ειδικά διαμορφωμένα αιτήματα HTTP από τους χειριστές τους, ενεργοποιούν ενέργειες με βάση τις κρυφές οδηγίες των χειριστών, αν υπάρχουν, και στη συνέχεια περνούν με διαφάνεια το αίτημα στον διακομιστή για να επεξεργαστεί όπως κάθε άλλο αίτημα", έγραψε ο ερευνητής της Kaspersky Pierre Delcher. "Ως αποτέλεσμα, τέτοιες ενότητες δεν εντοπίζονται εύκολα από τις συνήθεις πρακτικές παρακολούθησης: δεν ξεκινούν απαραίτητα ύποπτες επικοινωνίες με εξωτερικούς διακομιστές, λαμβάνουν εντολές μέσω αιτημάτων HTTP σε διακομιστή που είναι ειδικά εκτεθειμένος σε τέτοιες διεργασίες και τα αρχεία τους συχνά τοποθετούνται σε παραγνωρισμένες τοποθεσίες που περιέχουν πολλά άλλα νόμιμα αρχεία".

Μόλις αναπτυχθεί το SessionManager, οι χειριστές το χρησιμοποιούν για να σκιαγραφήσουν περαιτέρω το μολυσμένο περιβάλλον, να συλλέξουν τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στη μνήμη και να εγκαταστήσουν πρόσθετα εργαλεία, συμπεριλαμβανομένου ενός αντανακλαστικού φορτωτή με βάση το PowerSploit, του Mimikat SSP, του ProcDump και ενός νόμιμου εργαλείου αποτύπωσης μνήμης του Avast. Η Kaspersky απέκτησε πολλαπλές παραλλαγές του SessionManager που χρονολογούνται τουλάχιστον από τον Μάρτιο του 2021. Τα δείγματα δείχνουν μια σταθερή εξέλιξη που έχει προσθέσει περισσότερα χαρακτηριστικά με κάθε νέα έκδοση.

Το SessionManager εγκαθίσταται αφού οι φορείς απειλών έχουν εκμεταλλευτεί ευπάθειες γνωστές ως ProxyLogon μέσα σε διακομιστές Microsoft Exchange. Η Kaspersky το έχει βρει να μολύνει ΜΚΟ, κυβερνήσεις, στρατιωτικούς και βιομηχανικούς οργανισμούς στην Αφρική, τη Νότια Αμερική, την Ασία και την Ευρώπη.

Η Kaspersky δήλωσε ότι έχει μέτρια προς υψηλή εμπιστοσύνη ότι ένας προηγουμένως εντοπισμένος φορέας απειλής που οι ερευνητές αποκαλούν Gelsemium έχει αναπτύξει το SessionManager. Η εταιρεία ασφαλείας ESET δημοσίευσε μια βαθιά κατάδυση στην ομάδα (PDF) πέρυσι. Η απόδοση της Kaspersky βασίζεται στην επικάλυψη του κώδικα που χρησιμοποιείται από τις δύο ομάδες και τα θύματα που στοχεύουν.

Ο καθαρισμός διακομιστών που έχουν πληγεί από το SessionManager ή παρόμοιες κακόβουλες ενότητες IIS είναι μια περίπλοκη διαδικασία. Η δημοσίευση της Kaspersky περιέχει δείκτες που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να προσδιορίσουν αν έχουν μολυνθεί και τα βήματα που πρέπει να λάβουν σε περίπτωση που έχουν μολυνθεί.

Translated with www.DeepL.com/Translator (free version)

Πηγή : Ars Technica