Backdoor escassamente detetado visa governos e ONGs de todo o mundo
Especialistas da Kaspersky chamam à atenção para backdoor por detetar configurado como módulo malicioso dentro dos Serviços de Informação da Internet (IIS), um conhecido servidor web editado pela Microsoft. Assim que disseminado, o SessionManager permite a realização de uma série de atividades maliciosas, desde a recolha de e-mails ao total controlo da infraestrutura da vítima. Utilizado pela primeira vez no final de maio de 2021, o backdoor recém-descoberto visou instituições governamentais e ONGs em África, Sul Asiático, Europa e Médio Oriente. A maior parte das organizações visadas têm até à data a sua segurança comprometida.
Em dezembro de 2021, a Kaspersky descobriu o “Owowa”, um até então desconhecido módulo IIS que rouba as credenciais inseridas por um utilizador ao entrar no Outlook Web Access (OWA). Desde então, os especialistas de cibersegurança têm estado atentos às novas oportunidades para a atividade cibercriminosa – tornou-se claro que implementar um backdoor no IIS é uma tendência de ataque para os cibercriminosos, que anteriormente se aproveitaram de uma das vulnerabilidades “ProxyLogon-type” existentes nos servidores do Microsoft Exchange. Numa investigação recente, os especialistas Kaspersky deram conta de um novo backdoor malicioso, apelidado SessionManager.
O backdoor SessionManager permite aos atacantes manterem um acesso persistente, furtivo e resistente a atualizações. Uma vez dentro do sistema da vítima, os cibercriminosos por detrás da ameaça podem aceder a e-mails da empresa, instalar outros tipos de malware ou gerir clandestinamente servidores comprometidos, que podem ser utilizados como infraestrutura maliciosa.
Uma característica distintiva do SessionManager é a sua reduzida taxa de deteção. Identificadas primeiramente pelos investigadores da Kaspersky no início de 2022, algumas das amostras do backdoor não foram categorizadas como maliciosas pela maior parte dos serviços mais conhecidos de scanning de ficheiros online. Até à data, o SessionManager está ainda implementado em mais de 90% das organizações visadas, de acordo com o scan de Internet realizado pelos investigadores da Kaspersky.
De forma geral, 34 servidores de 24 organizações da Europa, Médio Oriente, Sul asiático e África foram comprometidos pelo SessionManager. O atacante que opera a ameaça mostra especial interesse em ONGs e entidades governamentais, contudo, entre os visados, constam também organizações médicas, empresas petrolíferas, empresas de transporte, entre outros.
Devido à vitimologia semelhante e ao uso da variante comum "OwlProxy", os peritos da Kaspersky acreditam que o módulo malicioso IIS pode ter sido alavancado pelo atacante GELSEMIUM, como parte das suas operações de espionagem.
“A exploração das vulnerabilidades do servidor exchange está entre as favoritas dos cibercriminosos que estão desde o primeiro trimestre de 2021 a tentar aceder a infraestruturas-alvo. Foram mote para uma série de campanhas de ciberespionagem que durante muito tempo passaram despercebidas. O recém-descoberto SessionManager ficou um ano por detetar e continua ativo. Face à exploração maciça e sem precedentes das vulnerabilidades do lado dos servidores, a maioria profissionais de cibersegurança estavam ocupados a investigar e a responder às primeiras infrações identificadas. Em resultado, ainda é possível, meses ou anos depois, encontrar atividades maliciosas relacionadas, e é provável que seja assim por muito tempo,” comenta Pierre Delcher, Senior Security Researcher na Global Research and Analysis Team da Kaspersky.
“Ganhar visibilidade para ciberameaças reais e recentes é essencial para as empresas protegerem os seus bens. Ataques como este podem resultar em perdas financeiras ou reputacionais significativas e podem perturbar as operações de um alvo. A informação sobre ameaças é a única componente que pode permitir uma antecipação fiável e atempada de tais ameaças. No caso dos servidores Exchange, nunca é demais salientar: as vulnerabilidades do ano passado tornaram-nos alvos perfeitos, qualquer que seja a intenção maliciosa, pelo que devem ser cuidadosamente auditados e monitorizados para implantes ocultos, se ainda não o foram,” acrescenta Pierre.
Os produtos da Kasperksy detetam vários módulos IIS maliciosos, incluindo o SessionManager.
Para saber mais sobre o modus operandi e alvos do SessionManager, visite Securelist.com.
Proteja a sua organização de ameaças deste tipo com as seguintes recomendações:
· Verifique regularmente os módulos IIS carregados nos servidores IIS expostos (particularmente, serviços Exchange), utilizando as ferramentas disponíveis na suite dos servidores IIS. Integre a verificação destes modelos no conjunto de atividades de deteção de ameaças de cada vez que for anunciada uma grande vulnerabilidade nos produtos de servidor Microsoft.
· Concentre a sua estratégia de defensa na deteção de movimentos laterais e exfiltração de dados. Preste especial atenção ao tráfego de saída para detetar conexões com os cibercriminosos. Faça backups de dados regulares. Certifique-se que são de fácil acesso em caso de emergência.
· Utilize soluções como Kaspersky Endpoint Detection and Response e Kaspersky Managed Detection and Response para melhor identificar e parar o ataque nas suas fases iniciais, antes que sejam atingidos os objetivos dos cibercriminosos.
· Utilize uma solução confiável para segurança de endpoint, como a Kaspersky Endpoint Security for Business (KESB), potenciada pela prevenção de explorações, deteção de comportamento e mecanismos de remediação que permitem reverter ações maliciosas. A solução KESB oferece ainda mecanismos de autodefesa que previnem contra a sua remoção por cibercriminosos.
Post A Comment:
0 comments: