Οι διακομιστές του Microsoft Exchange παγκοσμίως χτυπήθηκαν από νέο malware που συλλέγει δεδομένα

Του Στάθη Ασπιώτη

Ερευνητές εντόπισαν νέο, κρυφό malware που χρησιμοποιούν επιτιθέμενοι τους τελευταίους 15 μήνες για να συλλέγουν δεδομένα από τους διακομιστές του Microsoft Exchange μετά την παραβίασή τους.

Με το όνομα Session Manager, το κακόβουλο λογισμικό εμφανίζεται ως γνωστό και μη επικίνδυνο Internet Information Services (IIS) module, με ρόλο server. Το module είναι by default εγκατεστημένο στους servers του Microsoft Exchange. Οργανισμοί συχνά αναπτύσσουν μονάδες IIS για τον εξορθολογισμό συγκεκριμένων διαδικασιών στις υποδομές web. Ερευνητές της Kaspersky έχουν εντοπίσει από τον Μάρτιο του 2021, 34 διακομιστές που ανήκουν σε 24 οργανισμούς, οι οποίοι είχαν μολυνθεί με το Session Manager. Αρχές Ιουνίου 2022, 20 από αυτούς παρέμεναν ακόμη μολυσμένοι.

Μετά την ανάπτυξη του Session Manager, οι κακόβουλοι χειριστές το χρησιμοποιούν για να συλλέξουν ακόμη περισσότερες πληροφορίες από το μολυσμένο περιβάλλον, για τη συλλογή κωδικών πρόσβασης που είναι αποθηκευμένοι στη μνήμη και εγκαθιστούν πρόσθετα εργαλεία, συμπεριλαμβανομένων ενός reflective DLL loader που είναι βασισμένο σε PowerSploit, του Mimikat SSP, του ProcDump και ενός νόμιμου εργαλείου memory dump της Avast. Η Kaspersky έχει καταφέρει να έχει στη διάθεσή της πολλές παραλλαγές του Session Manager που χρονολογούνται τουλάχιστον από τον Μάρτιο του 2021. Τα δείγματα δείχνουν μια σταθερή εξέλιξη που προσθέτει δυνατότητες με κάθε νέα έκδοση.

Η «απολύμανση» των server από το SessionManager ή παρόμοιες κακόβουλες μονάδες IIS είναι μια περίπλοκη διαδικασία. Η ανάρτηση της Kaspersky περιέχει δείκτες που μπορούν να χρησιμοποιήσουν οι οργανισμοί για να προσδιορίσουν εάν έχουν μολυνθεί και τα βήματα που πρέπει να ακολουθήσουν σε περίπτωση που έχουν μολυνθεί.

Τεύχος 103