Araştırmacılar, tehdit aktörlerinin, güvenliği ihlal edildikten sonra Microsoft Exchange sunucularını arka kapıya yerleştirmek için son 15 aydır kullandıkları gizli kötü amaçlı yazılımlar keşfettiler.
SessionManager adlı kötü amaçlı yazılım, varsayılan olarak Exchange sunucularına yüklenen web sunucusu olan orijinal bir İnternet Bilgi Hizmetleri (IIS) modülünün kimliğine bürünür.
IIS modülleri, belirli web altyapısı etkinliklerini otomatikleştirmek için işletmeler tarafından sıklıkla uygulanır. Kaspersky güvenlik araştırmacılarına göre, Mart 2021'den bu yana 24 farklı firmaya ait 34 sunucuda SessionManager enfeksiyonları bulundu.
Siber güvenlik şirketine göre, geçen ayın başlarından itibaren 20 firma hala etkilendi.
Kötü amaçlı IIS modülleri, sağlam, kalıcı ve gizli arka kapıların devreye alınması için mükemmel bir platform sağlar. Kurulduktan sonra, operatörün sunucuya e-posta toplamasını, daha fazla kötü niyetli erişim vermesini veya saldırıya uğramış hizmetleri kötü amaçlarla kullanmasını emreden özel hazırlanmış HTTP isteklerine yanıt vereceklerdir.
Operatöre cihaz üzerinde tam kontrol sağlamalarına rağmen, HTTP sorgularının eğitimsiz göze normal göründüğü unutulmamalıdır.
Kaspersky araştırmacısı Pierre Delcher, bu tür kötü amaçlı modüllerin genellikle operatörlerinden gelen görünüşte meşru ancak özel olarak hazırlanmış HTTP isteklerini tahmin ettiğini, varsa operatörlerin gizli talimatlarına dayalı eylemleri tetiklediğini ve ardından isteği aynı şekilde işlenmek üzere şeffaf bir şekilde sunucuya ilettiğini yazdı. başka bir istek olarak.
“Sonuç olarak, bu tür modüller olağan izleme uygulamaları tarafından kolayca tespit edilemez: harici sunucularla şüpheli iletişimler başlatmaları gerekmez, bu tür işlemlere özel olarak maruz kalan bir sunucuya HTTP istekleri aracılığıyla komutlar almazlar ve dosyaları genellikle birçok başka meşru dosya içeren gözden kaçan konumlar” diye ekledi.
SessionManager'ı kurduktan sonra, operatörler bunu virüslü ortamın profilini çıkarmak, bellekte kayıtlı kimlik bilgilerini toplamak ve PowerSploit tabanlı yansıtıcı yükleyici, Mimikat SSP, ProcDump ve meşru bir Avast bellek dökümü aracı gibi ek araçlar yüklemek için kullanır.
Mart 2021'den itibaren en az bir SessionManager varyasyonu Kaspersky tarafından satın alındı.
Ancak, tehdit aktörlerinin Microsoft Exchange sunucularındaki ProxyLogon güvenlik açıklarından yararlandıktan sonra bildirildiği gibi, SessionManager dağıtılır. Bulgulara göre Afrika, Güney Amerika, Asya ve Avrupa'daki STK'lar, hükümetler, ordular ve ticari grupların enfekte olduğu belirlendi.
Ayrıca SessionManager'ın, Gelsemium olarak bilinen daha önce keşfedilen bir tehdit aktörü tarafından kullanılmış olma olasılığının orta-yüksek olduğu belirtildi. 2021'de güvenlik şirketi ESET, grubun kapsamlı bir analizini (PDF) yayınladı.
Belirtmek gerekir ki, iki grup tarafından kullanılan kod ve hedeflenen kurbanlar arasındaki benzerliklere dayanarak, Kaspersky saldırıyı ilişkilendiriyor.
Kaspersky'nin yayınında şirket, işletmelerin virüs bulaşıp bulaşmadığını ve bu durumda ne gibi önlemler almaları gerektiğini belirlemek için kullanabilecekleri göstergeleri listeliyor.