Οι επιτιθέμενοι χρησιμοποίησαν ένα κακόβουλο λογισμικό που ανακαλύφθηκε πρόσφατα για να κάνουν backdoor διακομιστές Microsoft Exchange που ανήκουν σε κυβερνητικούς και στρατιωτικούς οργανισμούς από την Ευρώπη, τη Μέση Ανατολή, την Ασία και την Αφρική.
Το κακόβουλο λογισμικό, που ονομάστηκε SessionManager από τους ερευνητές ασφαλείας της Kaspersky, οι οποίοι το εντόπισαν για πρώτη φορά στις αρχές του 2022, είναι μια κακόβουλη μονάδα εγγενούς κώδικα για το λογισμικό διακομιστή ιστού των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) της Microsoft.
Χρησιμοποιείται στη φύση χωρίς να έχει εντοπιστεί τουλάχιστον από τον Μάρτιο του 2021, αμέσως μετά την έναρξη του περσινού τεράστιου κύματος επιθέσεων ProxyLogon.
«Η κερκόπορτα του SessionManager επιτρέπει στους παράγοντες απειλών να διατηρούν επίμονη, ανθεκτική στις ενημερώσεις και μάλλον μυστική πρόσβαση στην υποδομή πληροφορικής ενός στοχευμένου οργανισμού», αποκάλυψε την Πέμπτη.
“Μόλις πέσουν στο σύστημα του θύματος, οι εγκληματίες του κυβερνοχώρου πίσω από την κερκόπορτα μπορούν να αποκτήσουν πρόσβαση στα email της εταιρείας, να ενημερώσουν περαιτέρω κακόβουλη πρόσβαση εγκαθιστώντας άλλους τύπους κακόβουλου λογισμικού ή να διαχειρίζονται μυστικά παραβιασμένους διακομιστές, οι οποίοι μπορούν να χρησιμοποιηθούν ως κακόβουλες υποδομές.”
Οι δυνατότητες του SessionManager περιλαμβάνουν, μεταξύ άλλων χαρακτηριστικών:
- απόθεση και διαχείριση αυθαίρετων αρχείων σε παραβιασμένους διακομιστές
- εκτέλεση εντολών απομακρυσμένης σε κερκόπορτες συσκευές που
- συνδέονται με τελικά σημεία εντός του τοπικού δικτύου του θύματος και χειρισμό της κυκλοφορίας δικτύου
Στα τέλη Απριλίου 2022, ενώ διερευνούσε ακόμη τις επιθέσεις, η Kaspersky διαπίστωσε ότι οι περισσότεροι από τα δείγματα κακόβουλου λογισμικού που εντοπίστηκαν νωρίτερα εξακολουθούσαν να αναπτύσσονται σε 34 διακομιστές 24 οργανισμών (εξακολουθούν να λειτουργούν έως τον Ιούνιο του 2022).
Επιπλέον, μήνες μετά την αρχική ανακάλυψη, δεν επισημάνθηκαν ως κακόβουλοι από “μια δημοφιλής ηλεκτρονική υπηρεσία σάρωσης αρχείων”.
Μετά την ανάπτυξη, η κακόβουλη μονάδα IIS επιτρέπει στους χειριστές της να συλλέγουν διαπιστευτήρια από τη μνήμη του συστήματος, να συλλέγουν πληροφορίες από το δίκτυο των θυμάτων και τις μολυσμένες συσκευές και να παραδίδουν πρόσθετα ωφέλιμα φορτία (όπως αντανακλαστικό φορτωτή Mimikatz που βασίζεται σε PowerSploit, Mimikatz SSP, ProcDumpκαι νόμιμο εργαλείο αποθήκευσης μνήμης Avast).