Бэкдоры Microsoft Exchange используются для шпионажа по всему миру

Исследователи кибербезопасности из «Лаборатории Касперского» недавно обнаружили совершенно новый модуль IIS, предназначенный для кражи учетных данных, которые жертвы вводят при входе в свои учетные записи Outlook Web Access (OWA).

Бэкдоры Microsoft Exchange используются для шпионажа по всему миру. Фото: СС0

Специалисты назвали новый модуль бэкдором SessionManager и утверждают, что он «устойчивый к обновлениям и незаметный». В «Лаборатории Касперского» утверждают, что, используя SessionManager, злоумышленники могут получить доступ к корпоративной электронной почте, сбросить другие вредоносные программы (например, программы- вымогатели ) в целевую сеть и управлять скомпрометированными серверами в полной секретности.

Что отличает SessionManager от других подобных модулей, так это низкий уровень обнаружения. Только в начале 2022 года модуль был обнаружен, и до сих пор некоторые из наиболее популярных антивирусных программ не помечают его как вредоносный.

Вредоносному модулю удалось скомпрометировать 34 сервера, принадлежащих 24 организациям, расположенным в Европе, на Ближнем Востоке, в Южной Азии и Африке. В «Касперском» говорят, что большинство жертв — это неправительственные организации (НПО), но добавляют, что среди пострадавших есть и медицинские организации, нефтяные компании, а также транспортные компании.

Хотя трудно сказать с абсолютной уверенностью, кто является злоумышленником, «Лаборатория Касперского» считает, что это группа, известная как GELSEMIUM. Это старый злоумышленник с 2014 года известный своими атаками на правительства и религиозные организации на Ближнем Востоке и в Восточной Азии.

«Лаборатория Касперского» считает, что за этой атакой стоит GELSEMIUM из-за схожего профиля жертвы и использования общего варианта «OwlProxy».

Предприятиям, опасающимся атак модуля IIS, рекомендуется регулярно проверять загруженные модули IIS на открытых серверах IIS в рамках своей деятельности по поиску угроз каждый раз, когда объявляется о новой уязвимости в серверных продуктах Microsoft.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме