Notícias de dispositivos móveis, gadgets, aplicativos Android

Novo malware denominado SessionManager direcionado a servidores Microsoft IIS em estado selvagem

Pesquisadores da Kaspersky procuram mais backdoors do IIS após a descoberta do ‘Owowa’, um módulo IIS malicioso implantado por invasores em servidores Microsoft Exchange Outlook Web Access, roubando credenciais e permitindo a execução remota de comandos do OWA.

Também em 2021, a Kaspersky detectou vulnerabilidades do tipo “ProxyLogon” nos servidores Microsoft Exchange, permitindo que os agentes de ameaças mantivessem acesso persistente, resistente a atualizações e relativamente furtivo à infraestrutura de TI de uma organização visada; seja para coletar e-mails, atualizar acessos maliciosos ou gerenciar clandestinamente servidores comprometidos que podem ser aproveitados como infraestrutura maliciosa.

Recentemente, em 2022, a empresa descobriu o ‘SessionManager’. De acordo com o relatório, o SessionManager tem sido usado contra ONGs, governos, organizações militares e industriais em África, América do Sul, Ásia, Europa, Rússia e Médio Oriente, pelo menos desde março de 2021.

“Devido às vítimas semelhantes e ao uso de uma variante comum do OwlProxy, acreditamos que o módulo IIS malicioso pode ter sido aproveitado pelo ator de ameaça GELSEMIUM, como parte de operações de espionagem”, Kaspersky.

O que é um SessionManager?

Desenvolvido em C++, SessionManager é um módulo IIS malicioso de código nativo carregado por alguns aplicativos IIS, para processar solicitações HTTP legítimas que são enviadas continuamente ao servidor.

Esses módulos maliciosos geralmente aguardam solicitações HTTP aparentemente legítimas, mas especificamente criadas, de seus operadores, acionam ações com base nas instruções ocultas dos operadores, se houver, e então passam a solicitação de forma transparente ao servidor para que ela seja processada como qualquer outra solicitação.

Solicitações de processamento de módulos IIS maliciosos

Os recursos do SessionManager incluem:

  • Ler, gravar e excluir arquivos arbitrários no servidor comprometido.
  • Executar binários arbitrários do servidor comprometido, também conhecido como “execução remota de comando”.
  • Estabelecer conexões com terminais de rede arbitrários que podem ser alcançados pelo servidor comprometido, bem como ler e escrever nessas conexões.
Nós recomendamos:  Alfa Romeo: novo SUV ainda maior que o Stelvio

O relatório diz; que embora ainda esteja investigando os ataques, a Kaspersky descobriu que a maioria das amostras de malware identificadas anteriormente ainda estavam implantadas em 34 servidores de 24 organizações (ainda em execução até junho de 2022).

Além disso, meses após a descoberta inicial, eles ainda não foram sinalizados como maliciosos por “um popular serviço online de verificação de arquivos”. As ferramentas que os operadores tentaram baixar e executar do SessionManager incluem um carregador reflexivo baseado em PowerSploit para Mimikatz DLL, Mimikatz SSP, ProcDump e uma ferramenta legítima de despejo de memória da Avast.

Para evitar a detecção por produtos de segurança, os pesquisadores dizem que os operadores do SessionManager tentaram execução maliciosa adicional executando scripts de inicialização através do Windows linha de comando do gerenciador de serviços. A partir de novembro de 2021, os operadores tentaram aproveitar scripts Python personalizados embalados pelo PyInstaller para ofuscar as tentativas de execução de comandos.

Especialistas em segurança da Kaspersky acreditar o backdoor IIS do SessionManager foi aproveitado nesses ataques pelo agente de ameaças Gelsemium como parte de uma operação de espionagem mundial.

Desde 2014, este grupo de hackers está ativo, quando algumas de suas ferramentas maliciosas foram detectadas pelo SecurityLabs da G DATA durante a investigação da campanha de espionagem cibernética “Operação TooHash”. Em 2016, novos indicadores de comprometimento do Gelsemium surgiram em uma apresentação da Verint Systems durante a conferência HITCON.

De acordo com Pierre Delcher, pesquisador sênior de segurança da Kaspersky, “a exploração de vulnerabilidades do servidor Exchange tem sido uma das favoritas dos cibercriminosos que buscam entrar em infraestruturas direcionadas desde o primeiro trimestre de 2021”.

“O SessionManager recentemente descoberto foi mal detectado por um ano e ainda está implantado em estado selvagem. No caso dos servidores Exchange, não podemos sublinhar o suficiente: as vulnerabilidades do ano passado tornaram-nos alvos perfeitos, qualquer que seja a intenção maliciosa, pelo que deveriam ser cuidadosamente auditados e monitorizados em busca de implantes ocultos, caso ainda não o fossem”, acrescentou.

Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de segurança cibernética.

Nós recomendamos:  Como os sandboxes de malware fortalecem sua segurança cibernética