رسانه های اجتماعی ، امنیت ، مهندسی اجتماعی

هدفگیری سرور‌های Microsoft Exchange با backdoor جدید “SessionManager”


کارشناسان امنیتی Kaspersky بدافزار جدیدی را کشف کرده‌اند که سرور‌های Microsoft Exchange متعلق به چندین سازمان در سراسر جهان را هدف قرار می‌دهد.

این backdoor که «SessionManager» نامیده شد و اولین بار توسط شرکت در اوایل سال ۲۰۲۲ مشاهده شد، به عوامل تهدید امکان می‌دهد «دسترسی دائمی، مقاوم در برابر بروزرسانی و نسبتاً پنهانی به زیرساخت فناوری اطلاعات یک سازمان که هدف قرار گرفته را، حفظ کنند».

به گفته کسپرسکی، SessionManager پس از انتشار، طیف گسترده‌ای از فعالیت‌های مخرب را فعال می‌کند، از جمع‌آوری‌ ایمیل‌ها گرفته تا کنترل کامل بر زیرساخت مجموعه یا دستگاه قربانی.
takian.ir sessionmanager iis backdoor 2
تحلیل‌های محققان امنیتی نشان می‌دهد که عاملان تهدید (TA) پشت SessionManager ابتدا در اواخر مارس ۲۰۲۱ شروع به کار کردند.

کسپرسکی گفت که این بدافزار به ۳۴ سرور ۲۴ سازمان در سراسر آفریقا، آسیای جنوبی، اروپا و خاورمیانه ضربه می‌زند که اکثر آن‌ها تا به امروز در معرض خطر هستند.
takian.ir sessionmanager iis backdoor 3
«عامل تهدید که مدیریت SessionManager را بر عهده دارد، علاقه خاصی به سازمان‌های غیردولتی و نهاد‌های دولتی نشان می‌دهد، اما سازمان‌های پزشکی، شرکت‌های نفتی و شرکت‌های حمل‌ونقل، از جمله مواردی هستند که هدف قرار گرفته‌اند. »

کسپرسکی همچنین هشدار داد که یکی از ویژگی‌های متمایز SessionManager میزان تشخیص ضعیف آن توسط نرم‌افزار‌های آنتی ویروس است.

این شرکت روز پنجشنبه در مشاوره امنیتی نوشت: «این backdoor برای اولین بار توسط محققان کسپرسکی در اوایل سال ۲۰۲۲ که برخی از نمونه‌های backdoor هنوز در اکثر سرویس‌های اسکن فایل آنلاین محبوب تحت عنوان مخرب شناسایی نشده بودند، کشف شد. »

طبق اسکن اینترنتی انجام شده توسط محققان کسپرسکی، تا به امروز، SessionManager همچنان در بیش از ۹۰ درصد سازمان‌های هدف مستقر است.

کارشناسان امنیتی گفتند که شباهت‌هایی بین SessionManager و Owowa که یک ماژول خدمات اطلاعات اینترنتی (IIS) که قبلاً ناشناخته بود و اعتبارنامه‌های وارد شده توسط کاربر را هنگام ورود به Outlook Web Access (OWA) دزدیده است، پیدا نموده‌اند.

کسپرسکی نوشت: «روشن شده است که استقرار یک backdoor در IIS یک روند برای عوامل تهدید است که قبلاً از یکی از آسیب‌پذیری‌های «نوع ProxyLogon» در سرور‌های Microsoft Exchange سواستفاده می‌کردند. »

به دلیل این شباهت‌ها و استفاده از نوع رایج «OwlProxy»، کسپرسکی توصیه‌های خود را با این ادعا به پایان رساند که ماژول IIS مخرب ممکن است توسط عامل تهدید Gelsemium مورد سواستفاده قرار گرفته باشند.

نویسنده

arenadminn