07/Jul/2022
Nuova dannosa campagna di attacco contro organizzazioni governative, militari e industriali

È stato recentemente scoperto un malware (SessionManager) utilizzato da marzo 2021 con infezioni persistenti in 20 organizzazioni a livello mondiale (ONG, organizzazioni governative, militari e industriali).

L’oggetto malevolo si maschera da modulo per Internet Information Services (IIS), dopo aver sfruttato uno dei difetti ProxyLogon all’interno dei server Exchange.

L’utilizzo del modulo IIS come backdoor consente agli attaccanti (probabilmente Gelsemium) di mantenere un accesso persistente, resistente agli aggiornamenti e relativamente invisibile all’infrastruttura IT di un’organizzazione.

Il malware include funzionalità per:

  • leggere, scrivere ed eliminare file arbitrari sul sistema vittima
  • eseguire file
  • stabilire comunicazioni con altri target nella rete: movimenti laterali
  • condurre ricognizioni e raccogliere password
  • fornire strumenti aggiuntivi come Mimikatz o altri strumenti di attacco

 

Come ribadito più volte e come dovrebbe già esistere come prassi, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha esortato le agenzie governative e le entità del settore privato che utilizzano la piattaforma Exchange a passare dal metodo di autenticazione di base legacy alle alternative di autenticazione moderna prima del suo ritiro il 1 ottobre 2022.

Fonte: https://thehackernews.com/2022/07/new-sessionmanager-backdoor-targeting.html?_m=3n%2e009a%2e2774%2epk0ao06z5r%2e1ru0

«
»