febrero 12, 2025
Noticias en General

Servidores de Microsoft Exchange en todo el mundo afectados por una nueva puerta trasera sigilosa

Crew Noticias Móvilespor Crew Noticias Móviles0

Servidores de Microsoft Exchange en todo el mundo afectados por una nueva puerta trasera sigilosa

imágenes falsas

Los investigadores han identificado un nuevo malware oculto que los actores de amenazas han estado usando durante los últimos 15 meses en los servidores de Microsoft Exchange de puerta trasera después de que fueron pirateados.

Apodado SessionManager, el software malicioso se hace pasar por un módulo legítimo para Internet Information Services (IIS), el servidor web instalado de forma predeterminada en los servidores de Exchange. Las organizaciones a menudo implementan módulos IIS para optimizar procesos específicos en su infraestructura web. Investigadores de la empresa de seguridad Kaspersky identificaron 34 servidores pertenecientes a 24 organizaciones que han sido infectados con SessionManager desde marzo de 2021. A principios de este mes, dijo Kaspersky, 20 organizaciones se infectaron.

Sigilo, tenacidad, poder

Los módulos IIS maliciosos ofrecen un medio ideal para implementar puertas traseras potentes, persistentes y sigilosas. Una vez instalados, responderán a solicitudes HTTP especialmente diseñadas enviadas por el operador instruyendo al servidor para recopilar correos electrónicos, agregar más acceso malicioso o usar los servidores comprometidos con fines clandestinos. Para el ojo inexperto, las solicitudes HTTP parecen insignificantes, incluso si le dan al operador un control total sobre la máquina.

“Dichos módulos maliciosos generalmente esperan solicitudes HTTP aparentemente legítimas pero especialmente diseñadas de sus operadores, activan acciones basadas en cualquier instrucción oculta del operador y luego pasan la solicitud de forma transparente al servidor para que se procese como cualquier otra solicitud”, dijo Kaspersky. escrito. investigador Pierre Delcher. “Como resultado, dichos formularios no son fácilmente identificables por las prácticas normales de monitoreo: no necesariamente inician comunicaciones sospechosas a servidores externos, reciben comandos a través de solicitudes HTTP a un servidor que está específicamente expuesto a dichos procesos, y sus archivos a menudo se colocan en ubicaciones desatendidas que contienen muchos otros archivos legítimos”.

kaspersky

Una vez que se implementa SessionManager, los operadores lo utilizan para perfilar aún más el entorno infectado, recopilar contraseñas almacenadas en la memoria e instalar herramientas adicionales, incluido un cargador reflexivo basado en PowerSploit, Mimikat SSP, ProcDump y una herramienta de volcado de memoria legítima de Avast. Kaspersky ha obtenido múltiples variantes de SessionManager que se remontan al menos a marzo de 2021. Los ejemplos muestran una evolución constante que ha agregado más funciones con cada nueva versión. La última versión del módulo malicioso incluye lo siguiente:

Nombre del comando
(valor de la cookie SM_SESSION)		 Parámetros de comando
(galletas adicionales)		 Capacidad asociada
TOMA EL ARCHIVO FILEPATH: ruta del archivo a leer. FILEPOS1: desplazamiento en el que comenzar a leer, desde el principio del archivo.

FILEPOS2: número máximo de bytes a leer.

 Lea el contenido de un archivo en el servidor comprometido y envíelo al operador como un binario HTTP llamado cool.rar.
PUTFILE FILEPATH: ruta del archivo a escribir.

FILEPOS1: desplazamiento para comenzar a escribir.

FILEPOS2: referencia de compensación.

FILEMODE: tipo de acceso al archivo solicitado.

 Escriba contenido arbitrario en un archivo en el servidor comprometido. Los datos que se escribirán en el archivo especificado se pasan dentro del cuerpo de la solicitud HTTP.
ELIMINAR EL ARCHIVO FILEPATH: ruta del archivo a borrar. Eliminar un archivo en el servidor comprometido.
TAMAÑO DEL ARCHIVO FILEPATH: ruta del archivo a medir. Obtiene el tamaño (en bytes) del archivo especificado.
CMD Nadie. Ejecute un proceso arbitrario en el servidor comprometido. El proceso a ejecutar y sus argumentos se especifican en el cuerpo de la solicitud HTTP utilizando el formato: \ t. La salida estándar y los datos de error de la ejecución del proceso se devuelven como texto sin formato al operador en el cuerpo de la respuesta HTTP.
SILBIDO Nadie. Compruebe la implementación de SessionManager. La “Operación OK” (sic.) el mensaje se enviará al operador en el cuerpo de la respuesta HTTP.
S5CONECTAR S5HOST: nombre de host para conectarse (exclusivo con S5IP).

S5PORT: desplazamiento para comenzar a escribir.

S5IP: dirección IP a la que conectarse si no se proporciona un nombre de host (exclusivo con S5HOST).

S5TIMEOUT: retraso máximo en segundos para permitir la conexión.

 Conéctese desde el host comprometido a un punto final de red específico, utilizando un socket TCP creado. El identificador entero del socket creado y conectado se devolverá como el valor de la variable de cookie S5ID en la respuesta HTTP y el estado de la conexión se informará en el cuerpo de la respuesta HTTP.
S5 ESCRIBIR S5ID: identificador del socket para escribir, como lo devuelve S5CONNECT. Escribe datos en el socket conectado especificado. Los datos que se escribirán en el socket especificado se pasan dentro del cuerpo de la solicitud HTTP.
S5 LEER S5ID: identificador del socket para leer, como lo devuelve S5CONNECT. Lee los datos del socket conectado especificado. La lectura de datos se devuelve dentro del cuerpo de la respuesta HTTP.
CERCA S5ID: identificador del socket a cerrar, tal y como lo devuelve S5CONNECT. Terminar una conexión de socket existente. El estado de la operación se devuelve como un mensaje dentro del cuerpo de la respuesta HTTP.

¿Recuerda ProxyLogon?

SessionManager se instala después de que los actores de amenazas exploten las vulnerabilidades conocidas como ProxyLogon dentro de los servidores de Microsoft Exchange. Kaspersky descubrió que infecta a ONG, gobiernos, organizaciones militares e industriales en África, América del Sur, Asia y Europa.

kaspersky

Kaspersky dijo que tiene una confianza media a alta de que un actor de amenazas previamente identificado que los investigadores llaman Gelsemium haya implementado SessionManager. La empresa de seguridad ESET publicó un análisis en profundidad del grupo (PDF) el año pasado. La atribución de Kaspersky se basa en la superposición del código utilizado por los dos grupos y las víctimas objetivo.

La limpieza de servidores que han sido afectados por SessionManager o módulos IIS maliciosos similares es un proceso complicado. La publicación de Kaspersky contiene indicadores que las organizaciones pueden usar para determinar si han sido infectadas y los pasos que deben seguir en caso de una infección.

Crew Noticias Móviles

Ver todas las entradas de Crew Noticias Móviles →

También te puede gustar

Promesas incumplidas: cómo Singapur perdió la confianza en la privacidad del seguimiento de contactos

¿Estás pensando en renovar tu cocina? Prueba este sitio web

La función “Drives” de Facebook da inicio a la temporada de donaciones

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *