Microsoft og Exchange serveren har i dette nye år været meget uheldige med sikkerhedshuller. De kriminelle baner er lynhurtige til at udnytte sikkerhedshullerne og udruller dem i internationale kampagner med flere milliarder scanninger dagligt. Det skal lægges oven i de milliarder af scanninger der sker hver dag mod offentlige IP adresser til at finde ikke blot et enkelt, men der scannes efter mange sikkerhedshuller på samme tid.
Kriminelle hackere brugte en nyopdaget malware til at etablere en bagdør Microsoft Exchange-servere, der tilhører offentlige og militære organisationer fra Europa, Mellemøsten, Asien og Afrika.
SessionManager benyttes også til industrispionage og mod forsvaret og regeringer
Denne nye malware, døbt SessionManager af sikkerhedseksperterne hos Kaspersky, der først opdagede det i begyndelsen af 2022. Det er en ondsindet native-kode modul til Microsofts Internet Information Services (IIS) webserver software.
Det er blevet brugt i hele verden uden at blive opdaget siden mindst marts 2021, lige efter starten af sidste års massive bølge af PROXYLOGIN angreb.
“SessionManager-bagdøren gør det muligt for trusselsaktører at holde vedvarende, opdateringsresistent og temmelig snigende adgang til it-infrastrukturen i en målrettet organisation,”
det skriver KasperSky på sin hjemmeside i morges.
“Når de først er faldet ind i offerets system, kan cyber-kriminelle bag bagdøren få adgang til virksomhedens e-mails, opdatere yderligere ondsindet adgang ved at installere andre typer malware eller hemmeligt administrere kompromitterede servere, som kan udnyttes som ondsindet infrastruktur.”
SessionManager mulighederne omfatter blandt andet:
- At droppe, eksekvere og administrere vilkårlige filer på kompromitterede servere
- At lave en fjernkommando udførelse på alle enheder med bagdøre
- At oprette forbindelse til slutpunkter i offerets lokale netværk og manipulere netværkstrafikken
I slutningen af april 2022, mens de stadig undersøgte angrebene, opdagede Kaspersky, at de fleste af de malware-prøver, der blev identificeret tidligere, stadig var implementeret på 34 servere fra 24 organisationer (De kørte stadig så sent som i juni 2022).
Derudover, måneder efter den første opdagelse, de blev stadig ikke markeret som ondsindede af de populære online filscanningstjenester.
Efter implementering, det ondsindede IIS-modul giver den sine operatører mulighed for at høste legitimationsoplysninger fra systemhukommelsen, indsamle oplysninger fra ofrenes netværk og inficerede enheder, og levere yderligere downloads (såsom en PowerSploit-baseret Mimikatz reflekterende Malware. Disse minder om Mimikatz SSP, ProcDump og Avast’s værktøj til hukommelsesdump.
EU er et af målene for spionage
Målene for disse kampagner har ramt Europa, Tyrkiet, Rusland, Asien, Afrika og Sydamerika, mens de endnu ikke er detekteret her i Danmark.
“Udnyttelsen af sårbarheder på udvekslingsservere har været en favorit blandt cyberkriminelle, der ønsker at komme ind i målrettet infrastruktur siden 1. kvartal 2021. Den nyligt opdagede SessionManager blev dårligt opdaget i et år og er stadig implementeret i naturen,”
sagde Pierre Delcher, en senior sikkerhedsforsker ved Kasperskys GReAT afdeling
“I tilfælde af Exchange-servere kan vi ikke understrege det nok: Det sidste års sårbarheder har gjort dem til perfekte mål, uanset den ondsindede hensigt, så de bør omhyggeligt revideres og overvåges for skjulte implantater, hvis de ikke allerede var det.”
Kaspersky afslørede SessionManager-malwaren, mens han fortsatte med at jage efter IIS-bagdøre, der ligner Owowa, der også går efter sikkerhedshuller i IIS webserver softwaren og der er implementeret af angribere på Microsoft Exchange Outlook-webadgangsservere.
Denne har aktivt siden slutningen af 2020 haft succes med at stjæle Exchange-legitimationsoplysninger. På den måde kan man sige at IIS Serveren er mere sårbar end andre webmail klienter f.eks. på Linux eller Unix der ikke i samme målestok oplever problemer.
Gelsemium APT SPYWARE gruppe links for bl.a. spionage mod myndigheder og militær
Baseret på lignende ofre og brugen af en HTTP-server-type bagdørsvariant kaldet OWLPROXY, mener Kaspersky-sikkerhedseksperter, at SessionManager IIS-bagdøren blev udnyttet i disse angreb fra Gelsemium-trusselsaktøren. Denne gruppe er en del af en verdensomspændende spionageoperation der udfører Industrispionage i hele EU og Amerika.
Det vi ved om denne gruppe er udelukkende fra forskergrupper under de kendte sikkerhedsleverandører. Denne hackinggruppe har været aktiv siden mindst 2014.
Dengang opdagede man nogle af dens mest ondsindede værktøjer der blev opdaget af G DATA’s SecurityLabs, mens de undersøgte “Operation TooHash” cyberspionagekampagnen. Senere i 2016 dukkede nye Gelsemium-indikatorer under HITCON-konferencen.
To år senere, i 2018, VenusTech afslørede malware-prøver knyttet til Operation TooHash og en ukendt APT-gruppe, senere mærket af det slovakiske internetsikkerhedsfirma ESET som tidlige Gelsemium-malwareversioner.
ESET afslørede også sidste år, at dets forskere knyttede Gelsemium til Operation NightScout, et forsyningskædeangreb rettet mod opdateringssystemet til NOXPLAYER der er en Android emulator til Windows og Apple enheder der benytter MACOS.
I skrivende stund har de over 150 millioner brugere og sikkerhedshullerne blev udnyttet mellem september 2020 og januar 2021.
Ellers er Gelsemium APT-gruppen hovedsageligt kendt for at målrette mod regeringer, elektronikproducenter og universiteter fra Østasien og Mellemøsten og alle operationer er for det meste under radaren. De bliver næsten altid først opdaget mange måneder senere end skaden er sket.
Kilde: Bleeping Computer og ICARE SECURITY A/S
Fotokredit: stocks.adobe.com
