全球 Microsoft Exchange 服務器被新惡意軟件後門

“全球 Microsoft Exchange 被新惡意軟件植入後門”

該惡意軟件被卡巴斯基的安全研究人員稱為 SessionManager，他們於 2022 年初首次發現它，是微軟互聯網信息服務 (IIS) Web 服務器軟件的惡意本機代碼模塊。
至少從 2021 年 3 月（即去年大規模 ProxyLogon 攻擊浪潮開始後）開始，它就一直在野外使用而未被檢測到 。
卡巴斯基週四透露：“SessionManager 後門使威脅參與者能夠保持對目標組織的 IT 基礎設施的持久、而且抗更新和相當的隱蔽 。”
“一旦進入受害者的系統，後門背後的網絡犯罪分子就可以訪問公司電子郵件，通過安裝其他類型的惡意軟件或秘密管理受感染的服務器來更新進一步的惡意訪問，這些服務器可以被用作惡意基礎設施。”

SessionManager 的功能包括：
在受感染的服務器上刪除和管理任意文件
在後門設備上執行遠程命令
連接到受害者本地網絡中的端點並操縱網絡流量
2022 年 4 月下旬，卡巴斯基仍在調查這些攻擊時 發現，之前發現 的大多數惡意軟件樣本仍部署在 24 個組織的 34 台服務器上（直到 2022 年 6 月仍在運行）。

此外，在最初發現幾個月後，它們仍未被“流行的在線文件掃描服務”標記為惡意軟件。
部署後，惡意 IIS 模塊允許其操作員從系統內存中獲取憑據，從受害者的網絡和受感染設備收集信息，並提供額外的有效負載（例如基於 PowerSploit 的 Mimikatz 反射加載程序、 Mimikatz SSP、 ProcDump和合法的 Avast 內存轉儲工具）。

自 2021 年第一季度以來，利用交換服務器漏洞一直是希望進入目標基礎設施的網絡犯罪分子的最愛。最近發現的 SessionManager 已被檢測不到一年，並且仍在野外部署，”高級安全研究員 Pierre Delcher 補充道在卡巴斯基的 GReAT。
“就 Exchange 服務器而言，我們怎麼強調都不為過：過去一年的漏洞已使它們成為完美的目標，無論惡意意圖如何，因此應該仔細審核和監控它們是否存在隱藏的植入物，如果它們還沒有的話。”

卡巴斯基在繼續尋找類似於 Owowa 的 IIS 後門程序的同時發現了 SessionManager 惡意軟件，Owowa 是攻擊者自 2020 年底以來在 Microsoft Exchange Outlook Web Access 服務器上部署的另一個惡意 IIS 模塊，用於竊取 Exchange 憑據。
Gelsemium APT 群鏈接
基於類似的受害者和使用稱為OwlProxy的 HTTP 服務器類型後門變體，卡巴斯基安全專家認為 SessionManager IIS 後門被Gelsemium威脅參與者 作為全球間諜活動的一部分在這些攻擊中利用 。
這個黑客組織至少從 2014 年就開始活躍起來，當時 G DATA 的 SecurityLabs 在調查“Operation TooHash”網絡間諜活動時發現了它的一些惡意工具。2016 年，新的 Gelsemium 妥協指標 在 HITCON 會議期間的Verint Systems演示中浮出水面。
兩年後的 2018 年，VenusTech 公佈了 與 Operation TooHash 和一個未知的 APT 組織相關的惡意軟件樣本，後來被斯洛伐克互聯網安全公司 ESET 標記為早期的 Gelsemium 惡意軟件版本。
ESET 去年還透露，其研究人員將 Gelsemium 與 NightScout 行動聯繫起來，這是一種供應鏈攻擊，針對 Windows 和 macOS （擁有超過 1.5 億用戶）的 NoxPlayer Android 模擬器更新系統，以在 2020 年 9 月至 2021 年 1 月期間感染遊戲玩家的系統.
否則，Gelsemium APT 組織主要以針對東亞和中東的政府、電子製造商和大學而聞名，並且大多在雷達下飛行。
-文章作者Sergiu Gatlan