-
30/08/2016
-
317
-
446 bài viết
Backdoor 'SessionManager' nhắm mục tiêu vào các máy chủ Microsoft IIS
Backdoor được phát hiện và sử dụng ít nhất từ tháng 3/2021, nhắm mục tiêu vào các máy chủ Microsoft Exchange trên toàn thế giới. Đến tháng 6/2022, mã độc đã lây nhiễm thành công 20 tổ chức.
Được gọi là SessionManager, công cụ độc hại này giả mạo là một module cho Dịch vụ Internet Information Services (IIS), một phần mềm máy chủ web cho các hệ thống Windows, sau khi khai thác lỗ hổng ProxyLogon trong các máy chủ Exchange.
Các mục tiêu bao gồm 24 tổ chức phi chính phủ, các tổ chức chính phủ, quân sự và công nghiệp khác nhau ở châu Phi, Nam Mỹ, Châu Á, Châu Âu, Nga và Trung Đông. Tổng cộng đã có 34 máy chủ bị lây nhiễm backdoor SessionManager.
"Sử dụng module IIS như một backdoor cho phép các tác nhân đe dọa duy trì truy cập liên tục, ngăn cản cập nhật và âm thầm hoạt động trong hạ tầng CNTT của tổ chức mục tiêu và lợi dụng chúng như một phần của máy chủ phát tán mã độc", nhà nghiên cứu của Kaspersky chia sẻ.
Theo Kaspersky, thủ phạm của các cuộc xâm nhập là nhóm tin tặc Gelsemium. Gelsemium thường xuyên khai thác các lỗ hổng ProxyLogon để thả SessionManager.
SessionManager là một backdoor được mã hóa bằng C và được thiết kế để xử lý các yêu cầu HTTP gửi đến máy chủ. SessionManager được cho là một 'backdoor dễ dàng bị lây nhiễm một cách âm thầm'. Nó đi kèm với các khả năng đọc, ghi và xóa các tệp tùy ý; thực thi từ xa từ máy chủ; và thiết lập liên lạc với các điểm cuối khác trong mạng.
Loại mã độc này hoạt động như một kênh bí mật để thăm dò mục tiêu, thu thập mật khẩu trong bộ nhớ và cung cấp các công cụ bổ sung như Mimikatz cũng như tiện ích trích xuất bộ nhớ từ Avast.
Các phát hiện này được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) kêu gọi các cơ quan chính phủ và các doanh nghiệp sử dụng nền tảng trao đổi để chuyển từ phương pháp xác thực cơ bản sang các lựa chọn thay thế xác thực hiện đại trước ngày 1 tháng 10 năm 2022.
Các mục tiêu bao gồm 24 tổ chức phi chính phủ, các tổ chức chính phủ, quân sự và công nghiệp khác nhau ở châu Phi, Nam Mỹ, Châu Á, Châu Âu, Nga và Trung Đông. Tổng cộng đã có 34 máy chủ bị lây nhiễm backdoor SessionManager.
"Sử dụng module IIS như một backdoor cho phép các tác nhân đe dọa duy trì truy cập liên tục, ngăn cản cập nhật và âm thầm hoạt động trong hạ tầng CNTT của tổ chức mục tiêu và lợi dụng chúng như một phần của máy chủ phát tán mã độc", nhà nghiên cứu của Kaspersky chia sẻ.
Theo Kaspersky, thủ phạm của các cuộc xâm nhập là nhóm tin tặc Gelsemium. Gelsemium thường xuyên khai thác các lỗ hổng ProxyLogon để thả SessionManager.
SessionManager là một backdoor được mã hóa bằng C và được thiết kế để xử lý các yêu cầu HTTP gửi đến máy chủ. SessionManager được cho là một 'backdoor dễ dàng bị lây nhiễm một cách âm thầm'. Nó đi kèm với các khả năng đọc, ghi và xóa các tệp tùy ý; thực thi từ xa từ máy chủ; và thiết lập liên lạc với các điểm cuối khác trong mạng.
Loại mã độc này hoạt động như một kênh bí mật để thăm dò mục tiêu, thu thập mật khẩu trong bộ nhớ và cung cấp các công cụ bổ sung như Mimikatz cũng như tiện ích trích xuất bộ nhớ từ Avast.
Các phát hiện này được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) kêu gọi các cơ quan chính phủ và các doanh nghiệp sử dụng nền tảng trao đổi để chuyển từ phương pháp xác thực cơ bản sang các lựa chọn thay thế xác thực hiện đại trước ngày 1 tháng 10 năm 2022.
Theo TheHacker News
Chỉnh sửa lần cuối bởi người điều hành: