Mô-đun IIS chưa được xác định trước đây chuyên đánh cắp thông tin xác thực đã nhập khi đăng nhập vào Outlook Web Access (OWA) ôi đã xuất hiện. Kể từ đó, các chuyên gia của công ty đã tìm kiếm những cơ hội mới cho hoạt động tội phạm mạng. Trong khi đó, việc đặt một backdoor để triển khai vào IIS có nghĩa là “Loại đăng nhập proxy” hóa ra lại là một xu hướng mới cho những kẻ đe dọa khai thác một trong những lỗ hổng. Trong một nghiên cứu gần đây, các chuyên gia của Kaspersky đã phát hiện ra một mô-đun cửa sau mới có tên SessionManager.
Phần mềm độc hại Owowa là gì, cách bảo vệ nó?
Cửa sau SessionManager cho phép các tác nhân đe dọa có được quyền truy cập vĩnh viễn, được cập nhật và có độ bảo mật cao vào cơ sở hạ tầng CNTT của tổ chức mục tiêu. Khi đã xâm nhập vào hệ thống của nạn nhân, bằng cách sử dụng cửa sau, tội phạm mạng có thể truy cập email của công ty, cập nhật thêm quyền truy cập độc hại bằng cách cài đặt phần mềm độc hại khác hoặc bí mật quản lý các máy chủ bị xâm nhập nơi chúng có thể được sử dụng làm cơ sở hạ tầng độc hại.
Một tính năng đặc biệt của SessionManager là tỷ lệ phát hiện kém. Một số ví dụ về cửa hậu, được các nhà nghiên cứu của Kaspersky phát hiện lần đầu tiên vào đầu năm 2022, vẫn chưa bị gắn cờ là độc hại trong hầu hết các dịch vụ quét tệp trực tuyến phổ biến. Hơn nữa, SessionManager được triển khai ở hơn 91% tổ chức mục tiêu.
Nhìn chung, 34 máy chủ từ 24 tổ chức từ Châu Âu, Trung Đông, Nam Á và Châu Phi đã bị SessionManager thu giữ. Tác nhân đe dọa điều hành SessionManager đặc biệt chú ý đến các tổ chức phi chính phủ và cơ quan chính phủ. Nhưng nó cũng nhắm vào các tổ chức y tế, các công ty dầu mỏ và vận tải biển.
Một lời phàn nàn tương tự và lan rộng “CúProxy”, các chuyên gia của Kaspersky đã xác định mô-đun IIS độc hại là một phần trong hoạt động gián điệp của họ. GELSEMIUM Anh ấy nghĩ rằng nó có thể đã được kẻ đe dọa sử dụng.
Pierre Delcher, Nhà nghiên cứu bảo mật cấp cao tại Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky, cho biết: “Khai thác lỗ hổng trong máy chủ Exchange là hoạt động ưa thích của tội phạm mạng đang tìm cách đột nhập vào cơ sở hạ tầng mục tiêu kể từ quý đầu tiên năm 2021. Điều này có thể tạo ra một loạt chiến dịch gián điệp mạng không được chú ý trong một thời gian đặc biệt dài. SessionManager được phát hiện gần đây đã bị phát hiện kém trong một năm. Đối mặt với việc khai thác lỗ hổng phía máy chủ trên quy mô lớn và chưa từng có, nhiều chuyên gia an ninh mạng đang bận rộn điều tra và ứng phó với những vi phạm đầu tiên mà họ phát hiện được. Do đó, vẫn có thể phát hiện ra hoạt động độc hại liên quan đến nó nhiều tháng hoặc nhiều năm sau đó và có thể nó sẽ tồn tại trong một thời gian dài.”
Delcher cho biết thêm: “Việc đạt được khả năng hiển thị theo thời gian thực hoặc các mối đe dọa mạng gần đây là điều cần thiết để các công ty bảo vệ tài sản của mình. Những cuộc tấn công như vậy có thể gây ra thiệt hại đáng kể về tài chính hoặc danh tiếng và làm gián đoạn hoạt động của mục tiêu. Thông tin về mối đe dọa là thành phần duy nhất cung cấp dự đoán đáng tin cậy và kịp thời về các mối đe dọa đó. Chúng tôi không thể nhấn mạnh quá mức điều này, đặc biệt là khi nói đến máy chủ Exchange: Bất kể mục đích xấu là gì, các lỗ hổng năm ngoái đã khiến chúng trở thành mục tiêu hoàn hảo. Do đó, nếu chưa được thực hiện, các máy chủ Exchange cần được kiểm tra và giám sát cẩn thận để phát hiện các thiết bị cấy ghép ẩn.”
Các sản phẩm của Kaspersky có thể phát hiện nhiều mô-đun IIS độc hại, bao gồm cả SessionManager.
Để tìm hiểu thêm về phong cách và mục tiêu làm việc của SessionManager danh sách bảo mật.com Bạn có thể ghé thăm địa chỉ.
Để bảo vệ doanh nghiệp của bạn khỏi những mối đe dọa như vậy, các chuyên gia của Kaspersky cũng khuyến nghị::
- Các mô-đun IIS được cài đặt trên các máy chủ IIS lộ diện (đặc biệt là các máy chủ Exchange) phải được kiểm tra thường xuyên và nên sử dụng các công cụ có sẵn trong gói máy chủ IIS. Bất cứ khi nào một lỗ hổng lớn được công bố trong các sản phẩm máy chủ của Microsoft, bạn nên kiểm tra các mô-đun đó như một phần trong hoạt động tìm kiếm mối đe dọa của mình.
- Chiến lược phòng thủ nên tập trung vào việc phát hiện các chuyển động ngang và rò rỉ dữ liệu lên Internet. Cần đặc biệt chú ý đến lưu lượng truy cập đi để phát hiện các liên kết tội phạm mạng. Dữ liệu cần được sao lưu thường xuyên và đảm bảo rằng dữ liệu có thể được truy cập nhanh chóng trong trường hợp khẩn cấp.
- Giúp xác định và ngăn chặn cuộc tấn công ở giai đoạn đầu, trước khi kẻ tấn công tiếp cận mục tiêu của chúng. Phát hiện và phản hồi điểm cuối của Kaspersky Và Phát hiện và phản hồi được quản lý của Kaspersky nên sử dụng các giải pháp
- Kaspersky Endpoint Security dành cho doanh nghiệp (KESB) Nên ưu tiên một giải pháp bảo mật điểm cuối đáng tin cậy được hỗ trợ bởi tính năng chống khai thác, phát hiện hành vi và công cụ khắc phục có khả năng đảo ngược các hành động độc hại. KESB có các cơ chế tự bảo vệ có thể ngăn chặn tội phạm mạng xóa nó khỏi hệ thống.
