«Лаборатория Касперского» обнаружила «плохо обнаруженный бэкдор» под названием SessionManager, который использовался против организаций в Африке, Южной Азии, Европе и на Ближнем Востоке как минимум с марта 2021 года.
«Бэкдор SessionManager позволяет злоумышленникам сохранять постоянный, устойчивый к обновлениям и довольно скрытый доступ к ИТ-инфраструктуре целевой организации», — говорит Касперский. «Попав в систему жертвы, киберпреступники за бэкдором могут получить доступ к электронной почте компании, обновить дальнейший вредоносный доступ, установив другие типы вредоносных программ, или тайно управлять скомпрометированными серверами, которые могут быть использованы в качестве вредоносной инфраструктуры».
SessionManager сам по себе является модулем для информационных служб Интернета (IIS) инструмент веб-сервера от Microsoft. Касперский говорит Бэкдор — это модуль IIS, который отслеживает «на первый взгляд законные, но специально созданные HTTP-запросы от своих операторов, инициирует действия на основе скрытых инструкций операторов, если таковые имеются, затем прозрачно передает запрос на сервер для его обработки, как и любой другой запрос.» Все это, как сообщается, затрудняет обнаружение SessionManager.
Касперский отмечает, что SessionManager, похоже, не делает ничего злонамеренного — весь смысл веб-сервера заключается в отслеживании HTTP-запросов. Любой, кто не ожидает, что сервер получит эти запросы, вероятно, не использует IIS. (По крайней мере, не в конфигурации, подверженной такой атаке.) Компания заявляет, что файлы SessionManager также «часто размещаются в незамеченных местах, содержащих множество других законных файлов», что еще больше затрудняет их обнаружение.
«Всего 34 сервера 24 организаций из Европы, Ближнего Востока, Южной Азии и Африки были скомпрометированы SessionManager», — сообщает Касперский. «Угроза, управляющая SessionManager, проявляет особый интерес к неправительственным организациям и государственным организациям, но жертвами также становятся медицинские организации, нефтяные компании, транспортные компании и другие».
Множество факторов, в том числе попытка использования вредоносного ПО под названием OwlProxy и организации, на которые нацелены бэкдоры SessionManager, привели к тому, что «Лаборатория Касперского» приписала по крайней мере некоторые из этих действий группе под названием Gelsemium. Lab52 опубликовала отчет на OwlProxy; ESET опубликовала технический документ описывая предыдущую деятельность Gelsemium. «Лаборатория Касперского» отмечает, что Gelsemium может быть не единственной группой, использующей SessionManager, поэтому эта атрибуция не определена.