Эксперты по кибербезопасности обнаружили сложно детектируемый бэкдор SessionManager. Он позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять широкий спектр вредоносных действий: читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами.
Злоумышленники внедряют зловред дистанционно в виде модуля для Microsoft IIS — набора веб-сервисов, включающего в себя почтовый сервер Exchange. С работой этого сервера сталкивается любой сотрудник компании при использовании корпоративной почты Microsoft. Для распространения SessionManager и других вредоносных IIS-модулей злоумышленники эксплуатируют уязвимость ProxyLogon.
По данным «Лаборатории Касперского», первые атаки с использованием SessionManager были зафиксированы в конце марта 2021 года. Жертвы — преимущественно государственные органы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. К настоящему моменту бэкдор обнаружен на 34 серверах в 24 компаниях. SessionManager часто остаётся незамеченным, так как его плохо детектируют большинство популярных онлайн-сканеров.
Продукты «Лаборатории Касперского» успешно обнаруживают SessionManager и помогают отражать дальнейшие кибератаки с применением этого бэкдора.
«Ставшая публично известной в начале 2021 года уязвимость ProxyLogon в сервере Microsoft Exchange дала злоумышленникам новый вектор для атак, которым они активно пользуются, в том числе для загрузки бэкдоров в виде модулей веб-сервера IIS. С помощью одного из таких зловредов, SessionManager, злоумышленники получают стойкий к обновлениям, долговременный и успешно скрываемый доступ к корпоративной ИТ-инфраструктуре», — рассказывает Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».
Чтобы защититься от подобных атак эксперты по информационной безопасности рекомендуют:
- регулярно проверять IIS-модули, загруженные на IIS-серверы (в особенности серверы почтовых ящиков), с помощью входящих в комплект инструментов. Обязательно проводите проверку каждый раз, когда становится известно о крупной уязвимости в серверах Microsoft;
- регулярно и оперативно устанавливать обновления используемого ПО, так как они включают в себя устранение обнаруженных уязвимостей. Компания Microsoft выпустила обновление безопасности для устранения уязвимости ProxyLogon ещё в марте 2021 года;
- сосредоточьте стратегию защиты на поиске перемещений по сети и передаче данных в интернет. Обращайте отдельное внимание на исходящий трафик, чтобы вовремя детектировать вредоносные подключения. Регулярно создавайте резервные копии данных. Убедитесь, что есть возможность быстро получить к ним доступ в случае необходимости;
- используйте защитные решения, которые помогают распознавать и останавливать атаку на ранних стадиях, до того как злоумышленники достигнут своих целей;
- используйте надёжное защитное решение, которое обладает функциями предотвращения эксплойтов, поведенческого детектирования и отката вредоносных действий.