Un malware reci\u00e9n descubierto se ha utilizado en la naturaleza al menos desde marzo de 2021 para servidores de Microsoft Exchange de puerta trasera que pertenecen a una amplia gama de entidades en todo el mundo, con infecciones persistentes en 20 organizaciones a partir de junio de 2022.<\/p>\n
Doblado Administrador de sesi\u00f3n<\/strong>la herramienta maliciosa se hace pasar por un m\u00f3dulo para los servicios de informaci\u00f3n de Internet (IIS<\/a>), un software de servidor web para sistemas Windows, despu\u00e9s de explotar una de las fallas de ProxyLogon dentro de los servidores de Exchange. <\/p>\n Los objetivos inclu\u00edan 24 ONG distintas, organizaciones gubernamentales, militares e industriales que abarcaban \u00c1frica, Am\u00e9rica del Sur, Asia, Europa, Rusia y Oriente Medio. Un total de 34 servidores se han visto comprometidos por una variante de SessionManager hasta la fecha.<\/p>\n Esta no es la primera vez que se observa la t\u00e9cnica en ataques del mundo real. El uso de un m\u00f3dulo IIS no autorizado como medio para distribuir implantes sigilosos refleja las t\u00e1cticas de un ladr\u00f3n de credenciales llamado Owowa que sali\u00f3 a la luz en diciembre de 2021.<\/p>\n “Dejar caer un m\u00f3dulo IIS como puerta trasera permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y relativamente sigiloso a la infraestructura de TI de una organizaci\u00f3n objetivo; ya sea para recopilar correos electr\u00f3nicos, actualizar m\u00e1s accesos maliciosos o administrar clandestinamente servidores comprometidos que pueden ser aprovechado como infraestructura maliciosa”, el investigador de Kaspersky Pierre Delcher dijo<\/a>.<\/p>\n La firma rusa de ciberseguridad atribuy\u00f3 las intrusiones con un nivel de confianza medio a alto a un adversario rastreado como Gelsemium, citando superposiciones en las muestras de malware vinculadas a los dos grupos y v\u00edctimas objetivo.<\/p>\n ProxyLogon, desde su divulgaci\u00f3n en marzo de 2021, ha atra\u00eddo la atenci\u00f3n repetida de varios actores de amenazas, y la \u00faltima cadena de ataque no es una excepci\u00f3n, con el equipo de Gelsemium explotando las fallas para eliminar SessionManager, una puerta trasera codificada en C++ y dise\u00f1ada para procesar HTTP. Solicitudes enviadas al servidor.<\/p>\n “Dichos m\u00f3dulos maliciosos generalmente esperan solicitudes HTTP aparentemente leg\u00edtimas pero dise\u00f1adas espec\u00edficamente de sus operadores, activan acciones basadas en las instrucciones ocultas de los operadores, si las hay, y luego pasan la solicitud de forma transparente al servidor para que se procese como cualquier otra solicitud”, dijo Delcher. explicado.<\/p>\n Se dice que es una “puerta trasera de acceso inicial persistente y liviana”, SessionManager viene con capacidades para leer, escribir y eliminar archivos arbitrarios; ejecutar binarios desde el servidor; y establecer comunicaciones con otros puntos finales en la red.<\/p>\n El malware act\u00faa adem\u00e1s como un canal encubierto para realizar reconocimientos, recopilar contrase\u00f1as en la memoria y entregar herramientas adicionales como Mimikatz, as\u00ed como una utilidad de volcado de memoria de Avast.<\/p>\n Los hallazgos llegan cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) inst\u00f3<\/a> agencias gubernamentales y entidades del sector privado que utilizan la plataforma de Exchange para cambiar del m\u00e9todo de autenticaci\u00f3n b\u00e1sica heredado a las alternativas de autenticaci\u00f3n moderna antes de su deprecaci\u00f3n<\/a> el 1 de octubre de 2022.<\/p>\n <\/p>\n<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656682956_799_Nueva-puerta-trasera-SessionManager-dirigida-a-servidores-Microsoft-IIS-en.jpg\")
<\/div>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\")
<\/a><\/div>\n