Yeni keşfedilen bir kötü amaçlı yazılım, en az Mart 2021’den bu yana, dünya çapında çok çeşitli kuruluşlara ait Microsoft Exchange sunucularını arka kapıya taşımak için vahşi doğada kullanılmaya başlandı ve bulaşmalar Haziran 2022’den itibaren 20 kuruluşta devam ediyor.
dublajlı Oturum Yöneticisikötü amaçlı araç, İnternet Bilgi Servisleri için bir modül gibi görünür (IIS), Exchange sunucularındaki ProxyLogon kusurlarından birini kullandıktan sonra Windows sistemleri için bir web sunucusu yazılımı.
Hedefler arasında Afrika, Güney Amerika, Asya, Avrupa, Rusya ve Orta Doğu’yu kapsayan 24 farklı STK, hükümet, askeri ve endüstriyel kuruluş yer aldı. Bugüne kadar bir SessionManager varyantı tarafından toplam 34 sunucunun güvenliği ihlal edilmiştir.
Bu, tekniğin gerçek dünya saldırılarında ilk kez gözlemlenmesinden çok uzak. Gizli implantları dağıtmak için bir araç olarak sahte bir IIS modülünün kullanılması, Aralık 2021’de ortaya çıkan Owowa adlı bir kimlik hırsızının taktiklerini yansıtıyor.
“Bir IIS modülünü arka kapı olarak bırakmak, tehdit aktörlerinin hedeflenen bir kuruluşun BT altyapısına kalıcı, güncellemeye dayanıklı ve nispeten gizli erişim sağlamasını sağlar; e-posta toplamak, daha fazla kötü amaçlı erişimi güncellemek veya olabilecek güvenliği ihlal edilmiş sunucuları gizlice yönetmek için. kötü amaçlı altyapı olarak kullanılıyor,” Kaspersky araştırmacısı Pierre Delcher söz konusu.
Rus siber güvenlik firması, izinsiz girişleri, iki grup ve hedeflenen kurbanlarla bağlantılı kötü amaçlı yazılım örneklerinde çakışmalara atıfta bulunarak, Gelsemium olarak izlenen bir rakibe orta-yüksek güvenilirlikle bağladı.
ProxyLogon, Mart 2021’deki açıklanmasından bu yana birçok tehdit aktörünün tekrar tekrar dikkatini çekti ve Gelsemium ekibinin C++ ile kodlanmış ve HTTP’yi işlemek üzere tasarlanmış bir arka kapı olan SessionManager’ı düşürmek için kusurlardan yararlanması ile en son saldırı zinciri de bir istisna değildir. sunucuya gönderilen istekler.
“Bu tür kötü niyetli modüller genellikle operatörlerinden görünüşte meşru ama özel olarak hazırlanmış HTTP istekleri bekler, varsa operatörlerin gizli talimatlarına dayalı eylemleri tetikler ve ardından diğer herhangi bir istek gibi işlenmesi için isteği şeffaf bir şekilde sunucuya iletir.” açıkladı.
“Hafif kalıcı ilk erişim arka kapısı” olduğu söylenen SessionManager, rastgele dosyaları okuma, yazma ve silme yetenekleriyle birlikte gelir; sunucudan ikili dosyaları yürütün; ve ağdaki diğer uç noktalarla iletişim kurun.
Kötü amaçlı yazılım ayrıca keşif yapmak, bellek içi parolaları toplamak ve Mimikatz gibi ek araçların yanı sıra Avast’tan bir bellek dökümü yardımcı programı sağlamak için gizli bir kanal görevi görür.
Bulgular, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) olarak geldi. çağırdı eski Temel Kimlik Doğrulama yönteminden Modern Kimlik Doğrulama alternatiflerine geçmek için Exchange platformunu kullanan devlet kurumları ve özel sektör kuruluşları, kullanımdan kaldırma 1 Ekim 2022’de.