«Лаборатория Касперского» обнаружила бэкдор, нацеленный на организации по всему миру

«Лаборатория Касперского» обнаружила бэкдор, нацеленный на организации по всему миру Оставить комментарий

«Лаборатория Касперского» обнаружила «плохо обнаруженный бэкдор» под названием SessionManager, который использовался против организаций в Африке, Южной Азии, Европе и на Ближнем Востоке как минимум с марта 2021 года.

«Бэкдор SessionManager позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и довольно скрытый доступ к ИТ-инфраструктуре целевой организации», — говорит Касперский. «Попав в систему жертвы, киберпреступники за бэкдором могут получить доступ к электронной почте компании, обновить дальнейший вредоносный доступ, установив другие типы вредоносных программ, или тайно управлять скомпрометированными серверами, которые могут быть использованы в качестве вредоносной инфраструктуры».

SessionManager сам по себе является модулем для информационных служб Интернета (IIS) инструмент веб-сервера от Microsoft. Касперский говорит Бэкдор — это модуль IIS, который отслеживает «на первый взгляд законные, но специально созданные HTTP-запросы от своих операторов, инициирует действия на основе скрытых инструкций операторов, если таковые имеются, затем прозрачно передает запрос на сервер для его обработки, как и любой другой запрос.» Все это, как сообщается, затрудняет обнаружение SessionManager.

Касперский отмечает, что SessionManager, похоже, не делает ничего злонамеренного — весь смысл веб-сервера заключается в отслеживании HTTP-запросов. Любой, кто не ожидает, что сервер получит эти запросы, вероятно, не использует IIS. (По крайней мере, не в конфигурации, подверженной такой атаке.) Компания заявляет, что файлы SessionManager также «часто размещаются в незамеченных местах, содержащих множество других законных файлов», что еще больше затрудняет их обнаружение.

«Всего 34 сервера 24 организаций из Европы, Ближнего Востока, Южной Азии и Африки были скомпрометированы SessionManager», — сообщает Касперский. «Угроза, управляющая SessionManager, проявляет особый интерес к неправительственным организациям и государственным организациям, но жертвами также становятся медицинские организации, нефтяные компании, транспортные компании и другие».

Множество факторов, в том числе попытка использования вредоносного ПО под названием OwlProxy и организации, на которые нацелены бэкдоры SessionManager, привели к тому, что «Лаборатория Касперского» приписала по крайней мере некоторые из этих действий группе под названием Gelsemium. Lab52 опубликовала отчет на OwlProxy; ESET опубликовала технический документ описывая предыдущую деятельность Gelsemium. «Лаборатория Касперского» отмечает, что Gelsemium может быть не единственной группой, использующей SessionManager, поэтому эта атрибуция не определена.

Добавить комментарий

Ваш адрес email не будет опубликован.