در پشتی در سرورهای exchange

مهاجمان از یک بدافزار تازه کشف شده برای در پشتی قرار دادن در سرورهای Microsoft Exchange متعلق به سازمان‌های دولتی و نظامی از اروپا، خاورمیانه، آسیا و آفریقا استفاده کردند.

این بدافزار که اولین بار در اوایل سال 2022 توسط محققان امنیتی کسپرسکی مشاهده شد و SessionManager نام گرفت، یک ماژول کد بومی مخرب برای نرم‌افزار وب‌سرور Microsoft's Internet Information Services (IIS) است.

این بدافزار حداقل از مارس 2021، درست پس از شروع موج عظیم حملات ProxyLogon در سال گذشته، بدون شناسایی مورد استفاده قرار گرفته است.

کسپرسکی روز پنجشنبه فاش کرد: «درپشتی SessionManager به عوامل تهدید امکان می‌دهد تا دسترسی مداوم، مقاوم در برابر به‌روزرسانی و نسبتاً پنهانی به زیرساخت فناوری اطلاعات یک سازمان هدف را حفظ کنند.

مجرمان سایبری پس از ورود به سیستم قربانی، می‌توانند به ایمیل‌های شرکت دسترسی پیدا کنند، دسترسی‌های مخرب بیشتری را با نصب انواع دیگر بدافزارها به‌روزرسانی کنند یا به‌طور مخفیانه سرورهای آسیب‌دیده را مدیریت کنند، که می‌تواند به عنوان زیرساخت مخرب مورد استفاده قرار گیرد.»

برخی از قابلیت‌های SessionManager عبارتند از:

• حذف و مدیریت فایل‌های دلخواه در سرورهای در معرض خطر

• اجرای فرمان از راه دور در دستگاه‌هایی که در پشتی دارند.

• اتصال به نقاط پایانی در شبکه محلی قربانی و دستکاری ترافیک شبکه

در اواخر آوریل 2022، کسپرسکی در حالی که هنوز حملات را بررسی می‌کرد، فهمید که بیشتر نمونه‌های بدافزاری که قبلا شناسایی شدند هنوز در 34 سرور 24 سازمان مستقر هستند (هنوز تا ژوئن 2022 اجرا می‌شدند).

علاوه بر این، ماه‌ها پس از کشف اولیه، آنها هنوز توسط "یک سرویس اسکن فایل آنلاین محبوب

( virusTotal )" به عنوان مخرب علامت‌گذاری نشده بودند.

پس از استقرار، ماژول مخرب IIS به اپراتورهای خود اجازه می‌دهد تا اعتبارنامه‌ها را از حافظه سیستم جمع‌ کرده، اطلاعات را از شبکه قربانیان و دستگاه‌های آلوده جمع‌آوری کنند و پیلودهای اضافی را تحویل دهند (مانند بارگذار بازتابی Mimikatz مبتنی بر PowerSploit، Mimikatz SSP، ProcDump و ابزار قانونی تخلیه حافظهAvast).

پیر دلچر، محقق ارشد امنیتی، اضافه کرد: «سو استفاده از آسیب‌پذیری‌های سرور exchange از سه ماهه اول 2021 مورد علاقه مجرمان سایبری بوده است که به دنبال ورود به زیرساخت‌های مورد هدف هستند. SessionManager که اخیراً کشف شده به مدت یک سال به خوبی تشخیص داده نشده و هنوز مستقر است».

در مورد سرورهای Exchange، ما نمی‌توانیم به اندازه کافی بر آن تاکید کنیم: آسیب‌پذیری‌های سال گذشته آنها را به اهدافی عالی تبدیل کرده است، صرف نظر از اینکه نیت بدخواهانه چه باشد. بنابراین، این سرورها حتی اگر قبلاً مورد بازرسی و نظارت قرار نگرفته‌اند، از این به بعد باید به دقت مورد بازرسی و نظارت قرار گیرند.

کسپرسکی بدافزار SessionManager را کشف کرد در حالی که به جستجوی درهای پشتی IIS مشابه Owowa، یک ماژول مخرب IIS دیگر که توسط مهاجمان بر روی سرورهای Microsoft Exchange Outlook Web Access از اواخر سال 2020 برای سرقت اطلاعات کاربری Exchange مستقر شده بود، ادامه می‌داد.

پیوندهای گروه Gelsemium APT

بر اساس قربانی شناسی مشابه و استفاده از یک نوع سرور درپشتی HTTP به نام OwlProxy، کارشناسان امنیتی کسپرسکی معتقدند که درب پشتی SessionManager IIS در این حملات توسط عامل تهدید Gelsemium به عنوان بخشی از یک عملیات جاسوسی در سراسر جهان مورد استفاده قرار گرفته است.

این گروه هکر حداقل از سال 2014 فعال بوده است، زمانی که برخی از ابزارهای مخرب آن توسط آزمایشگاه امنیتی G DATA در حین بررسی کمپین جاسوسی سایبری "عملیات TooHash" مشاهده شد. در سال 2016، IoC (نشانگر نفوذ) جدید Gelsemium در ارائه سیستم‌های Verint در طول کنفرانس HITCON ظاهر شد.

دو سال بعد، در سال 2018، VenusTech نمونه‌های بدافزار مرتبط با Operation TooHash و یک گروه APT ناشناخته را معرفی کرد که بعداً توسط شرکت امنیت اینترنتی اسلواکی ESET به‌عنوان نسخه‌های اولیه بدافزار Gelsemium برچسب‌گذاری شد.

ESET همچنین سال گذشته فاش کرد که محققان آن Gelsemium را به Operation NightScout، یک حمله زنجیره تامین که سیستم به‌روزرسانی شبیه‌ساز اندروید NoxPlayer برای ویندوز و macOS (با بیش از 150 میلیون کاربر) را هدف قرار می‌دهد، پیوند داده‌اند تا بین سپتامبر 2020 تا ژانویه 2021 سیستم‌های گیمرها را آلوده کند.

به غیر از آن، گروه Gelsemium APT عمدتاً برای هدف قرار دادن دولت‌ها، تولیدکنندگان لوازم الکترونیکی و دانشگاه‌ها از شرق آسیا و خاورمیانه شناخته شده است و عمدتاً زیر رادار پرواز می‌کند.

منبع : Bleeping_Computer