卡巴斯(si)基專家發現了一個難(nan)以檢測的SessionManager后(hou)門(men)程序,該后(hou)門(men)被設置為互聯網信息服(fu)務(IIS)中的惡意模塊,IIS是(shi)由微軟編輯的常(chang)用Web服務器。一旦傳播,SessionManager就會進行廣(guang)泛�������的(de)惡意(yi)活動(dong),從收集電子郵(you)件到完全控制受(shou)害者的(de)基礎設施。
這一(yi)新發現的后門程序在(zai)2021年3月底首次被利(li)用,目(mu)前(qian)已經攻擊了非(fei)�����洲、南亞、歐(ou)洲和中(zhong)東的政(zheng)府機構和非(fei)政(zheng)府組織。到目(mu)前(qian)為止,大(da)多數目(mu)標組織仍然受到感(gan)染。
2021年12月,卡(ka)巴(ba)斯基(ji)發現了“Owowa”,這是一(yi)個以前未知(zhi)的IIS模塊,可以竊取(qu)用戶(hu)在登(deng)錄Outlook Web Access(OWA)時(shi)輸入的(de)憑據。自那時(shi)起,卡巴斯(si)基專家一(yi)直在密切關注網絡犯罪活動的(de)新機(ji)會——很明(������ming)顯,在IIS中部署后門是威脅行為者的趨勢,他(ta)們之前利(li)用了微軟Exchange服務器內的一個“ProxyLogon型(xing)”漏洞(dong)。在最近(jin)的(de)一次調��������查中,卡巴斯基專家發現了一個新的(d������e)不受歡迎的(de)模塊后門(men)程(cheng)序,名為SessionManager。
SessionManager后門程序使(shi)威脅行為者(zhe)能夠(gou)對目標(biao)組織的IT基礎架(jia)構進行持久、抗更新和相當隱(yin)秘的訪(fang)問。一旦被釋放到受害者系統中,該后門幕后的網絡(luo)罪犯就可以訪(fang)問公(gong)司電子郵件(jian),通過安(an)裝其他類型的惡意(yi)軟件(jian)來更新進一步(bu)的惡意(yi)訪(fang)問,或者秘密������(mi)管理被入(ru)侵的服務(wu)器,這些服務(wu)器可以被�������用作惡意(yi)基礎設施(shi)。
SessionManager的一個明顯特征(zheng)是其(qi)低檢測(ce)率(lv)。卡(ka������)巴(ba)斯(si)基(ji)研究人(ren)員在(za�����i)2022年初首次發現(xian),在大多數流行的在線文件掃(sao)描服(fu)務中(zhong),一些后門樣本仍未被標記為惡意。截止到目�������(mu)前,根據卡(ka)巴斯基研究人員進行的互(hu)聯網掃(sao)描,SessionManager仍(reng)被部署在90%以上的目標組織中(zhong)。
總體來(lai)(lai)看,來(lai)(lai)自(zi)歐(ou)��������洲,中東,南亞和非洲的(de)24個組織的34臺服(fu)務器受到SessionManager的(de)入侵。運營(ying)SessionManager的(de)威脅者對非政府(fu)組(zu)織和政府(fu)實體(t�����������i)表現(xian)出特別的(de)興(xing)趣,但(dan)醫療組(zu)織、石油(you)公司(si)、運輸公司(si)等也是其攻擊(ji)目標。
由于類似的受害者(zhe)類型和常見(jian)的“OwlProxy”變體(ti)的使用(yong),卡(ka)巴斯基專家(jia)認為,惡(e)意IIS模(mo)塊可能已被GELSEMIUM威脅行為者利用(yong),作為其間諜攻擊行動的(de)一部(bu)分。
Pierre Delcher 卡巴斯基全球研究(jiu)與分析團隊高級安全研究(jiu)員(yuan)
“自2021年第一季度(du)以來(lai),利用Exchange服務器的��������漏洞一直是(shi)網絡罪犯入侵目標基礎設施的最常(chang)用手段。值得注意的是(shi),它促成了一系(xi)列(lie)長期未被注意的網絡間(jian)諜活動。最近發現的SessionManager很難在一(yi)年內被(bei)檢測出(chu)來,且(qie)仍然部署在野外。
面對大規模和(�����he)前所未(wei)有的服務器端漏洞(dong)利用(yong),大多(duo)數網絡安全人員都忙于調查和(he)應對首(shou)次發(fa)現的犯罪行為。因此,仍有可(ke)(ke)能在(zai)幾(ji)個月或幾(ji)年(nian)后發(fa)現相關(guan)的惡意活動(dong),而且這種情況可(ke)(ke)能會持續很(hen)長時(shi)間。”
“了解實際和最近(j�����in)發生的(de)網(wang)絡威脅(xie)(xie)對(dui)于公司(si)保護其資產至關重要。這(zhe)類攻擊可能會給公司(si)造成嚴重的(de)經濟或(huo�����)信譽損失,還可以干擾被攻擊目標的(de)運營。威脅(xie)(xie)情報是能夠(gou)可靠和及時(shi)預測此類威脅(xie)(xie)的(de)唯一組件。就Exchange服(fu)務(wu)器而言,怎么強調(diao)其安全性都不為過:過去一(yi)年的(de)(de)漏洞已經(jing)使其成為完美(mei)的(de)(de)攻擊(ji)目(mu)標,無論攻擊(ji)者(zhe)的(de)(de)惡(e)意意圖如何,都應該仔(zi)細(xi)審核������和監控(kong)隱藏的(de)(de)植入物,如果還沒有這樣(yang)做的(de)(de)話。”
