Bir zamanlar ProxyLogon Microsoft Exchange sunucusu güvenlik açıklarından yararlanmaya odaklanan saldırganlar, e-postalara kalıcı, algılanmayan erişim sağlamak ve hatta hedef kuruluşun altyapısını ele geçirmek için kullanılabilen yeni SessionManager arka kapısına bir dönüş yaptı.
Bugün Kaspersky araştırmacıları, Exchange sunucuları gibi Windows için Internet Information Services (ISS) sunucularına kötü niyetli arka kapı modülleri dağıtan saldırganların daha büyük bir eğiliminin parçası olduğunu söyledikleri SessionManager’ın ortaya çıktığını bildiriyorlar.
Araştırmacılar, ilk olarak Mart 2021’de gözlemlenen kötü niyetli SessionManager arka kapısının Afrika, Avrupa, Orta Doğu ve Güney Asya’daki sivil toplum kuruluşlarını (STK’lar) hedef almak için kullanıldığını ekliyor. Kaspersky raporu, 24 bağımsız STK’daki 34 sunucunun, SessionManager tarafından ele geçirildiğini söylüyor.
Kaspersky kıdemli güvenlik araştırmacısı Pierre Delcher, bulgularla ilgili bir gönderide, “Exchange sunucusu güvenlik açıklarından yararlanma, 2021 yılının ilk çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber suçluların gözdesi oldu” dedi. “Yakın zamanda keşfedilen SessionManager, bir yıl boyunca zayıf bir şekilde tespit edildi ve hala vahşi doğada konuşlandırılıyor.”
Kaspersky ekibi, açıkta kalan ISS sunucularındaki kötü amaçlı modüller için düzenli olarak tehdit avı yapılmasını ve ağdaki yanal hareketlerin tespit edilmesine odaklanmanın yanı sıra İnternet’e veri sızmasının yakından izlenmesini önerir.
“Exchange sunucuları söz konusu olduğunda, bunu yeterince vurgulayamıyoruz: Geçen yılın güvenlik açıkları, kötü niyetli niyet ne olursa olsun, onları mükemmel hedefler haline getirdi, bu nedenle, henüz yapılmadıysa, dikkatlice denetlenmeli ve gizli implantlar için izlenmeli,” Delcher uyardı.