[卡巴斯基]发现了以世界各国政府和ngo为目标的后门,
专家发现SessionManager后门被设置为恶意模块(IIS),该模块是在微软中编辑的常用Web服务器,因此很难找到。一旦传播开来,SessionManager将进行广泛的恶意活动,从收集电子邮件到完全控制受害者的基础设施。这一新发现的后门在2021年3月底首次使用,现在它攻击非洲、南亚、欧洲和中东的政府机构和ngo。目前大部分目标组织都被感染啦
2021年12月,在卡巴斯基中发现了名为“Owowa”的未知IIS模块。您可以窃取用户登录Outlook Web Access(OWA)时输入的凭证。自那以后,[卡巴斯基]专家一直关注网络犯罪活动的新机会。在Exchang服务器中使用“ProxyLogon型”漏洞在IIS部署后门显然是一种威胁。在最近的调查中,卡巴斯基专家发现了一种新的不受欢迎的模块后门,称为SessionManager。
SessionManager后门允许威胁行为者持续访问目标组织的IT基础架构、抵抗更新和保持非常隐秘的访问。一旦从受害者系统中解放出来,后门网络犯罪分子就可以访问企业的电子邮件,安装另一个恶意软件更新进一步的恶意访问,或者秘密管理被恶意基础设施滥用的危险服务器。
SessionManager的一个特点是检测率低。研究人员在2022年初首次发现,在许多热门的在线文件扫描服务中,一些后门样本并没有被标记为恶意的。到目前为止,根据卡巴斯基研究人员的互联网扫描,SessionManager部署在90%以上的目标组织中。
受到SessionManager黑客攻击的是欧洲、中东、南亚、非洲的24个组织34台。运营SessionManager的威胁者特别关注ngo和政府组织,但医疗团体、石油公司、运输公司等也会受到攻击。
这是SessionManager攻击对象组织的地图
由于使用类似类型的受害者和常见的“OwlProxy”,专家认为恶意IIS模块可能是被威胁行为者作为间谍攻击的一部分。
“自2021年第1季度以来,利用Exchange服务器漏洞已成为网络罪犯侵入目标基础架构的最常见手段。值得注意的是,它催生了一系列长期不受关注的网络间谍活动。最近发现的SessionManager在一年内发现并仍在现场部署。面对大规模、史无前例的服务器端漏洞,大部分网络安全人员都忙于调查和应对最初发现的犯罪行为。因此,几个月到几年后可能会发现恶意活动,这种情况可能会持续很长一段时间。“。
“了解实际和近期的网络威胁对于保护企业资产非常重要,这种攻击可能会给公司带来严重的经济损失或可靠性损失,甚至会妨碍攻击对象的运营。威胁情报人员确实及时地预测了这种威胁是唯一能做到的组件。对于Exchange服务器的安全性,无论怎么强调都不会做得太多。过去一年的脆弱性成为一个完整的攻击目标。无论攻击者是否恶意,都需要仔细检查和监视隐藏的植入物。
产品可以检测到包括SessionManager在内的几个恶意IIS模块。有关SessionManager的操作风格和攻击目标的详细信息,请访问Securelist.com。
为了保护你的企业免受这种威胁,专家建议:。
使用IIS服务器套件中的现有工具,定期检查已加载到暴露的IIS服务器(特别是Exchange服务器)中的IIS模块。[微软]如果服务器产品出现严重错误,这些模块将被检查为威胁搜索活动的一部分。
将你的防卫策略集中在横向移动和检测互联网泄露。网络罪犯的连接检测特别注意定期备份数据。确保在紧急情况下快速访问这些备份。
卡巴斯基端点检测和响应,卡巴斯基管理检测和响应服务等解决方案可帮助攻击者在攻击的初始阶段识别和阻止攻击。
卡巴斯基使用可靠的端点安全解决方案,如网络安全解决方案(KESB)它具有强大的漏洞入侵对策、行为检测功能和回滚恶意行为的支付引擎。KESB也有为了保护自己免受网络犯罪的防御机构。
卡巴斯基。
它成立于1997年,是一家涉及网络安全和数字隐私的全球企业。将深度威胁信息和安全技术转化为最新的安全解决方案和服务,为全球企业、关键基础架构、政府和消费者提供安全保护。我们提供了一个全面的安全产品组合,包括先进的端点保护解决方案,以及各种针对性的安全解决方案和服务,可以全面抵御复杂而进化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们也帮助保护全球240000家客户企业最重要的东西。如果您想了解更多信息,请访问www.kaspersky.com。