Un malware recién descubierto se ha utilizado en la naturaleza al menos desde marzo de 2021 para servidores de Microsoft Exchange de puerta trasera que pertenecen a una amplia gama de entidades en todo el mundo, con infecciones persistentes en 20 organizaciones a partir de junio de 2022.
Doblado Administrador de sesiónla herramienta maliciosa se hace pasar por un módulo para los servicios de información de Internet (IIS), un software de servidor web para sistemas Windows, después de explotar una de las fallas de ProxyLogon dentro de los servidores de Exchange.
Los objetivos incluían 24 ONG distintas, organizaciones gubernamentales, militares e industriales que abarcaban África, América del Sur, Asia, Europa, Rusia y Oriente Medio. Un total de 34 servidores se han visto comprometidos por una variante de SessionManager hasta la fecha.
Esta no es la primera vez que se observa la técnica en ataques del mundo real. El uso de un módulo IIS no autorizado como medio para distribuir implantes sigilosos refleja las tácticas de un ladrón de credenciales llamado Owowa que salió a la luz en diciembre de 2021.
“Dejar caer un módulo IIS como puerta trasera permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y relativamente sigiloso a la infraestructura de TI de una organización objetivo; ya sea para recopilar correos electrónicos, actualizar más accesos maliciosos o administrar clandestinamente servidores comprometidos que pueden ser aprovechado como infraestructura maliciosa”, el investigador de Kaspersky Pierre Delcher dijo.
La firma rusa de ciberseguridad atribuyó las intrusiones con un nivel de confianza medio a alto a un adversario rastreado como Gelsemium, citando superposiciones en las muestras de malware vinculadas a los dos grupos y víctimas objetivo.
ProxyLogon, desde su divulgación en marzo de 2021, ha atraído la atención repetida de varios actores de amenazas, y la última cadena de ataque no es una excepción, con el equipo de Gelsemium explotando las fallas para eliminar SessionManager, una puerta trasera codificada en C++ y diseñada para procesar HTTP. Solicitudes enviadas al servidor.
“Dichos módulos maliciosos generalmente esperan solicitudes HTTP aparentemente legítimas pero diseñadas específicamente de sus operadores, activan acciones basadas en las instrucciones ocultas de los operadores, si las hay, y luego pasan la solicitud de forma transparente al servidor para que se procese como cualquier otra solicitud”, dijo Delcher. explicado.
Se dice que es una “puerta trasera de acceso inicial persistente y liviana”, SessionManager viene con capacidades para leer, escribir y eliminar archivos arbitrarios; ejecutar binarios desde el servidor; y establecer comunicaciones con otros puntos finales en la red.
El malware actúa además como un canal encubierto para realizar reconocimientos, recopilar contraseñas en la memoria y entregar herramientas adicionales como Mimikatz, así como una utilidad de volcado de memoria de Avast.
Los hallazgos llegan cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) instó agencias gubernamentales y entidades del sector privado que utilizan la plataforma de Exchange para cambiar del método de autenticación básica heredado a las alternativas de autenticación moderna antes de su deprecación el 1 de octubre de 2022.