Microsoft Exchange подвергся атаке в рамках глобальной шпионской операции

Злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager обнаружен Лабораторией Касперского в начале 2022 года и представляет собой вредоносный модуль для ПО веб-сервера Microsoft Internet Information Services ( IIS ). Лаборатория Касперского рассказала , что большинство выявленных образцов вредоносных программ по-прежнему развернуты на 34 серверах 24 организаций.

«Бэкдор SessionManager позволяет злоумышленнику сохранять постоянный, устойчивый к обновлениям и скрытый доступ к IT-инфраструктуре организации», — сообщили эксперты компании «Лаборатория Касперского».

«Оказавшись в системе жертвы, киберпреступник может получить доступ к электронной почте компании, установить другие типы вредоносных программ или тайно управлять скомпрометированным сервером, который может быть использован в качестве вредоносной инфраструктуры», - добавили специалисты.

Возможности SessionManager помимо всего прочего включают:

• удаление и управление произвольными файлами на скомпрометированном сервере;
• удаленное выполнение команд на устройстве;
• подключение к конечным точкам в локальной сети жертвы и управление сетевым трафиком.

После развертывания вредоносный модуль IIS позволяет своему оператору извлекать учетные данные из системной памяти, собирать информацию из сети жертвы, а также доставлять дополнительную полезную нагрузку.

Цели SessionManager

Основываясь на анализе жертв и сценарии атаки, эксперты по безопасности Лаборатории Касперского предположили, что SessionManager IIS использовался группировкой Gelsemium в рамках всемирной шпионской операции. APT-группа Gelsemium известна атаками на правительства, производителей электроники и университеты из Восточной Азии и Ближнего Востока.