A Kaspersky revelou uma “porta dos fundos detectada incorretamente” que chama de SessionManager que tem sido usada contra organizações na África, Sul da Ásia, Europa e Oriente Médio desde pelo menos março de 2021.
“O backdoor do SessionManager permite que os agentes de ameaças mantenham um acesso persistente, resistente a atualizações e bastante furtivo à infraestrutura de TI de uma organização visada”, disse a Kaspersky. Ele diz. “Depois de entrar no sistema da vítima, os cibercriminosos por trás do backdoor podem obter acesso aos e-mails da empresa, atualizar o acesso malicioso instalando outros tipos de malware ou gerenciar sub-repticiamente servidores comprometidos, que podem ser aproveitados como infraestrutura maliciosa.” “.
SessionManager em si é um módulo para o Serviços de Informação da Internet (IIS) ferramenta de servidor web da Microsoft. kaspersky Ele diz o backdoor é um módulo do IIS que procura “solicitações HTTP aparentemente legítimas, mas especificamente criadas de seus operadores, aciona ações com base nas instruções ocultas dos operadores, se houver, e então passa a solicitação de forma transparente para o servidor para que seja processada como qualquer outra inscrição.” Tudo isso torna o SessionManager bastante difícil de detectar.
A Kaspersky ressalta que o SessionManager não parece estar fazendo nada malicioso: o objetivo de um servidor web é ouvir solicitações HTTP. Qualquer pessoa que não espera que um servidor receba essas solicitações provavelmente não está executando o IIS. (Pelo menos não em uma configuração suscetível a tal ataque.) A empresa diz que os arquivos do SessionManager também são “muitas vezes colocados em locais ignorados que contêm muitos outros arquivos legítimos” para dificultar ainda mais a detecção.
“No geral, 34 servidores em 24 organizações na Europa, Oriente Médio, Sul da Ásia e África foram comprometidos pelo SessionManager”, diz Kaspersky. “O agente de ameaças que opera o SessionManager mostra um interesse particular em ONGs e entidades governamentais, mas organizações médicas, companhias de petróleo, companhias de navegação e outras também foram alvos”.
Uma variedade de fatores, incluindo a tentativa de uso de malware chamado OwlProxy e organizações direcionadas com backdoors do SessionManager, levaram a Kaspersky a atribuir pelo menos parte dessa atividade a um grupo chamado Gelsemium. Lab52 publicou um relatório em OwlProxy; A ESET publicou um papel branco descrevendo a atividade anterior de Gelsemium. No entanto, a Kaspersky observa que o Gelsemium pode não ser o único grupo que usa o SessionManager, portanto, essa atribuição não é segura.
