至少自2021年3月以来,一种新发现的恶意软件已被广泛使用,用于针对全球范围广泛实体的欧洲、中东、亚洲和非洲的政府和军事组织的Microsoft Exchange服务器进行后门,截至2022年6月,感染在20个组织中挥之不去。
被称为SessionManager的恶意工具在利用Exchange服务器中的一个ProxyLogon漏洞后伪装成Internet信息服务(IIS)的模块,这是一种用于Windows系统的Web服务器软件。
“SessionManager后门使威胁参与者能够保持对目标组织的IT基础设施的持久、抗更新和相当隐蔽的访问。一旦进入受害者的系统,后门背后的网络犯罪分子就可以访问公司电子邮件,通过安装其他类型的恶意软件或秘密管理受感染的服务器来更新进一步的恶意访问,这些服务器可以被用作恶意基础设施。”
SessionManager的功能包括:
在受感染的服务器上删除和管理任意文件
在后门设备上执行远程命令
连接到受害者本地网络中的端点并操纵网络流量
这远不是第一次在现实世界的攻击中观察到该技术。使用流氓IIS模块作为分发隐形植入物的手段反映了2021年12月曝光的名为Owowa的凭证窃取者的策略。
“将IIS模块作为后门删除后,威胁参与者可以保持对目标组织的IT基础设施的持久、抗更新和相对隐秘的访问;无论是收集电子邮件、更新进一步的恶意访问,还是秘密管理可能被入侵的服务器。被用作恶意基础设施,”卡巴斯基研究员Pierre Delcher说。
这家俄罗斯网络安全公司以中到高的可信度将这些入侵归因于被跟踪为Gelsemium的对手,理由是与这两个群体和目标受害者相关的恶意软件样本存在重叠。
ProxyLogon自2021年3月披露以来,已经引起了多个威胁参与者的反复关注,最新的攻击链也不例外,Gelsemium团队利用这些漏洞删除了SessionManager,这是一个用C++编码的后门,旨在处理HTTP发送到服务器的请求。
“此类恶意模块通常期望来自其运营商的看似合法但经过专门设计的HTTP请求,根据运营商的隐藏指令(如果有)触发操作,然后将请求透明地传递给服务器,以便像任何其他请求一样对其进行处理。
SessionManager被称为“轻量级持久初始访问后门”,具有读取、写入和删除任意文件的功能;从服务器执行二进制文件;并与网络中的其他端点建立通信。
该恶意软件进一步充当了一个秘密通道,用于进行侦察、收集内存密码,并提供其他工具,例如Mimikatz以及Avast的内存转储实用程序。
原文始发于微信公众号(雾晓安全):针对全球Microsoft IIS服务器被新恶意软件后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论