Kaspersky’den siber güvenlik araştırmacıları, kurbanların Outlook Web Access (OWA) hesaplarına giriş yaparken girdiği kimlik bilgilerini çalmak için tasarlanmış yepyeni bir IIS modülü keşfettiler.
Yeni modül arka kapı SessionManager adını verdiler ve kalıcı, güncellemelere dayanıklı ve gizli olduğunu iddia ettiler. Kaspersky ayrıca, SessionManager’dan yararlanarak tehdit aktörlerinin şirket e-postalarına erişebileceğini, diğer kötü amaçlı yükleri (örneğin fidye yazılımı gibi) hedef ağa bırakabileceğini ve güvenliği ihlal edilmiş sunucuları tam bir gizlilik içinde yönetebileceğini iddia ediyor.
SessionManager’ı diğer benzer modüllerden ayıran şey, zayıf algılama oranıdır. Modülün keşfedilmesi 2022’nin başlarına kadar değildi ve hala daha popüler antivirüs programlarından bazıları. (yeni sekmede açılır) kötü niyetli olarak işaretlemeyin.
Gelsemiyum
Rapora göre, SessionManager bugün hedeflenen kuruluşların %90’ından fazlasında kullanılıyor.
Kötü amaçlı modül, Avrupa, Orta Doğu, Güney Asya ve Afrika’da bulunan 24 kuruluşa ait 34 sunucunun güvenliğini aşmayı başardı. Kaspersky, kurbanların çoğunun sivil toplum kuruluşları (STK) olduğunu, ancak kurbanlar arasında sağlık kuruluşları, petrol şirketleri ve nakliye şirketlerinin de olduğunu da sözlerine ekledi.
Tehdit aktörünün kim olduğunu kesin olarak söylemek zor olsa da Kaspersky, bunun GELSEMIUM olarak bilinen bir grup olduğuna inanıyor. Bu, Doğu Asya’nın yanı sıra Orta Doğu’daki hükümetleri ve dini kuruluşları hedef aldığı bilinen 2014’ten kalma eski bir tehdit aktörüdür.
Kaspersky, benzer kurban profili ve yaygın “OwlProxy” varyantının kullanılması nedeniyle bu saldırının arkasında GELSEMIUM’un olduğuna inanıyor.
IIS modülü saldırılarına karşı dikkatli olan işletmelerin, Microsoft sunucu ürünlerinde her yeni bir güvenlik açığı duyurulduğunda, tehdit avlama etkinliklerinin bir parçası olarak, açıkta kalan IIS sunucularında yüklü IIS modüllerini düzenli olarak kontrol etmeleri önerilir.
Ayrıca savunma stratejilerini yanal hareketleri ve veri sızıntısını tespit etmeye odaklamalıdırlar.
