Бэкдоры Microsoft Exchange используются для шпионажа за НПО по всему миру
1 июля 2022 г.Исследователи по кибербезопасности из «Лаборатории Касперского» недавно обнаружили совершенно новый модуль IIS, предназначенный для кражи учетных данных, которые жертвы вводят при входе в свои учетные записи Outlook Web Access (OWA).
Они назвали новый модуль бэкдором SessionManager, и утверждают, что он постоянный, устойчивый к обновлениям и незаметный. «Лаборатория Касперского» утверждает, что, используя SessionManager, злоумышленники могут получить доступ к электронной почте компании, а также сбросить другую вредоносную полезную нагрузку. (например, программы-вымогатели) в целевую сеть и управлять скомпрометированными servers в полной секретности.
Что отличает SessionManager от других подобных модулей, так это низкий уровень обнаружения . Только в начале 2022 года модуль был обнаружен, и до сих пор некоторые из наиболее популярных антивирусных программ< /a> не помечайте его как вредоносное.
Гельземиум
Согласно отчету, SessionManager на сегодняшний день развернут более чем в 90% целевых организаций.
Вредоносному модулю удалось скомпрометировать 34 сервера, принадлежащие 24 организациям, расположенным в Европе, на Ближнем Востоке, на Юге Азия и Африка. Большинство жертв составляют неправительственные организации (НПО), сказал Касперский, но добавил, что среди пострадавших есть и медицинские организации, нефтяные компании, а также транспортные компании.
Пока трудно сказать с абсолютной уверенностью, кто является злоумышленником, Касперский считает, что это группа, известная как GELSEMIUM. Это старый злоумышленник, созданный в 2014 году и известный своими атаками на правительства и религиозные организации на Ближнем Востоке и в Восточной Азии.
Касперский считает, что за этой атакой стоит GELSEMIUM из-за схожего профиля жертвы и использования распространенного варианта «OwlProxy».
Компаниям, опасающимся атак модулей IIS, рекомендуется регулярно проверять загруженные модули IIS на открытых серверах IIS в рамках своей деятельности по поиску угроз каждый раз, когда объявляется о новой уязвимости в серверных продуктах Microsoft.
Они также должны сосредоточить свои защитные стратегии на обнаружении боковых движений и краже данных.
- Это лучшая защита конечных точек на данный момент.
Оригинал