Nuevo malware “SessionManager” hacia Servidores de Microsoft Exchange

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los atacantes usaron un malware recientemente descubierto en servidores de Microsoft Exchange de puerta trasera pertenecientes a organizaciones gubernamentales y militares de Europa, Medio Oriente, Asia y África.

El malware, denominado SessionManager por los investigadores de seguridad de Kaspersky, que lo detectaron por primera vez a principios de 2022, es un módulo de código nativo malicioso para el software del servidor web Internet Information Services (IIS) de Microsoft.

Se ha utilizado en la naturaleza sin ser detectado desde al menos marzo de 2021, justo después del comienzo de la ola masiva de ataques ProxyLogon del año pasado.

"La puerta trasera SessionManager permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso a la infraestructura de TI de una organización objetivo", reveló Kaspersky el jueves.

"Una vez que ingresan al sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden obtener acceso a los correos electrónicos de la empresa, actualizar el acceso malicioso instalando otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa".

Las capacidades de SessionManager incluyen, entre otras características:

   - soltar y administrar archivos arbitrarios en servidores comprometidos
   - ejecución remota de comandos en dispositivos con puerta trasera
   - conectarse a puntos finales dentro de la red local de la víctima y manipular el tráfico de la red

A fines de abril de 2022, mientras aún investigaba los ataques, Kaspersky descubrió que la mayoría de las muestras de malware identificadas anteriormente todavía estaban implementadas en 34 servidores de 24 organizaciones (todavía en funcionamiento hasta junio de 2022).

Además, meses después del descubrimiento inicial, "un popular servicio de escaneo de archivos en línea" aún no los marcaba como maliciosos.

Después de la implementación, el módulo IIS malicioso permite a sus operadores recopilar credenciales de la memoria del sistema, recopilar información de la red de las víctimas y los dispositivos infectados, y entregar cargas útiles adicionales (como un cargador reflexivo Mimikatz basado en PowerSploit, Mimikatz SSP, ProcDump y un herramienta legítima de volcado de memoria de Avast).

Objetivos de SessionManager (Kaspersky)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"La explotación de las vulnerabilidades del servidor de intercambio ha sido una de las favoritas de los ciberdelincuentes que buscan ingresar a la infraestructura objetivo desde el primer trimestre de 2021. El SessionManager recientemente descubierto se detectó mal durante un año y todavía se implementa en la naturaleza ", agregó Pierre Delcher, investigador sénior de seguridad de Kaspersky.

"En el caso de los servidores de Exchange, no podemos enfatizarlo lo suficiente: las vulnerabilidades del año pasado los convirtieron en objetivos perfectos, cualquiera que sea la intención maliciosa, por lo que deben ser auditados y monitoreados cuidadosamente en busca de implantes ocultos, si aún no lo han sido".

Kaspersky descubrió el malware SessionManager mientras continuaba buscando puertas traseras de IIS similares a Owowa, otro módulo malicioso de IIS implementado por atacantes en servidores de Microsoft Exchange Outlook Web Access desde finales de 2020 para robar credenciales de Exchange.

Enlaces de grupo Gelsemium APT

Con base en una victimología similar y el uso de la variante de malware OwlProxy, los expertos en seguridad de Kaspersky creen que la puerta trasera SessionManager IIS fue aprovechada en estos ataques por el actor de amenazas Gelsemium como parte de una operación de espionaje mundial.

Este grupo de piratería ha estado activo desde al menos 2014, cuando SecurityLabs de G DATA detectó algunas de sus herramientas maliciosas mientras investigaba la campaña de ciberespionaje "Operación TooHash". En 2016, surgieron nuevos indicadores de compromiso de Gelsemium en una presentación de Verint Systems durante la conferencia HITCON.

Dos años más tarde, en 2018, VenusTech reveló muestras de malware vinculadas a la Operación TooHash y un grupo APT desconocido, luego etiquetado por la empresa de seguridad de Internet eslovaca ESET como versiones tempranas del malware Gelsemium.

ESET también reveló el año pasado que sus investigadores vincularon Gelsemium con Operation NightScout, un ataque a la cadena de suministro dirigido al sistema de actualización del emulador de Android NoxPlayer para Windows y macOS (con más de 150 millones de usuarios) para infectar los sistemas de los jugadores entre septiembre de 2020 y enero de 2021.

De lo contrario, el grupo Gelsemium APT es conocido principalmente por apuntar a gobiernos, fabricantes de productos electrónicos y universidades del este de Asia y Medio Oriente y, en su mayoría, por pasar desapercibido.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta