Исследователи кибербезопасности из «Лаборатории Касперского» недавно обнаружили совершенно новый модуль IIS, предназначенный для кражи учетных данных, которые жертвы вводят при входе в свои учетные записи Outlook Web Access (OWA).
Они назвали новый модуль бэкдором SessionManager и утверждают, что он стойкий, устойчивый к обновлениям и незаметный. «Лаборатория Касперского» также утверждает, что, используя SessionManager, злоумышленники могут получить доступ к электронной почте компании, сбросить другие вредоносные полезные нагрузки (например, программы-вымогатели) в целевую сеть и управлять скомпрометированными серверами в полной секретности.
Что отличает SessionManager от других подобных модулей, так это низкий уровень обнаружения. Только в начале 2022 года модуль был обнаружен, и до сих пор некоторые из наиболее популярных антивирусных программ (откроется в новой вкладке) не помечайте его как вредоносный.
гельземиум
Согласно отчету, сегодня SessionManager развернут более чем в 90% целевых организаций.
Вредоносному модулю удалось скомпрометировать 34 сервера, принадлежащих 24 организациям, расположенным в Европе, на Ближнем Востоке, в Южной Азии и Африке. Касперский сказал, что большинство жертв — это неправительственные организации (НПО), но добавил, что среди пострадавших есть и медицинские организации, нефтяные компании, а также транспортные компании.
Хотя трудно сказать с абсолютной уверенностью, кто является злоумышленником, «Лаборатория Касперского» считает, что это группа, известная как GELSEMIUM. Это старый злоумышленник, созданный в 2014 году и известный своими атаками на правительства и религиозные организации на Ближнем Востоке и в Восточной Азии.
«Лаборатория Касперского» считает, что за этой атакой стоит GELSEMIUM из-за схожего профиля жертвы и использования общего варианта «OwlProxy».
Предприятиям, опасающимся атак модуля IIS, рекомендуется регулярно проверять загруженные модули IIS на открытых серверах IIS в рамках своей деятельности по поиску угроз каждый раз, когда объявляется о новой уязвимости в серверных продуктах Microsoft.
Они также должны сосредоточить свои защитные стратегии на обнаружении боковых движений и утечке данных.
