Backdoor escassamente detetado visa governos e ONGs de todo o mundo
Especialistas da Kaspersky chamam à atenção para backdoor por detetar configurado como módulo malicioso dentro dos Serviços de Informação da Internet (IIS), um conhecido servidor web editado pela Microsoft.
Assim que disseminado, o SessionManager permite a realização de uma série de atividades maliciosas, desde a recolha de e-mails ao total controlo da infraestrutura da vítima. Utilizado pela primeira vez no final de maio de 2021, o backdoor recém-descoberto visou instituições governamentais e ONGs em África, Sul Asiático, Europa e Médio Oriente. A maior parte das organizações visadas têm até à data a sua segurança comprometida.
Em dezembro de 2021, a Kaspersky descobriu o “Owowa”, um até então desconhecido módulo IIS que rouba as credenciais inseridas por um utilizador ao entrar no Outlook Web Access (OWA). Desde então, os especialistas de cibersegurança têm estado atentos às novas oportunidades para a atividade cibercriminosa – tornou-se claro que implementar um backdoor no IIS é uma tendência de ataque para os cibercriminosos, que anteriormente se aproveitaram de uma das vulnerabilidades “ProxyLogon-type” existentes nos servidores do Microsoft Exchange. Numa investigação recente, os especialistas Kaspersky deram conta de um novo backdoor malicioso, apelidado SessionManager.
O backdoor SessionManager permite aos atacantes manterem um acesso persistente, furtivo e resistente a atualizações. Uma vez dentro do sistema da vítima, os cibercriminosos por detrás da ameaça podem aceder a e-mails da empresa, instalar outros tipos de malware ou gerir clandestinamente servidores comprometidos, que podem ser utilizados como infraestrutura maliciosa.
Uma característica distintiva do SessionManager é a sua reduzida taxa de deteção. Identificadas primeiramente pelos investigadores da Kaspersky no início de 2022, algumas das amostras do backdoor não foram categorizadas como maliciosas pela maior parte dos serviços mais conhecidos de scanning de ficheiros online.
Até à data, o SessionManager está ainda implementado em mais de 90% das organizações visadas, de acordo com o scan de Internet realizado pelos investigadores da Kaspersky.
De forma geral, 34 servidores de 24 organizações da Europa, Médio Oriente, Sul asiático e África foram comprometidos pelo SessionManager. O atacante que opera a ameaça mostra especial interesse em ONGs e entidades governamentais, contudo, entre os visados, constam também organizações médicas, empresas petrolíferas, empresas de transporte, entre outros.
Devido à vitimologia semelhante e ao uso da variante comum “OwlProxy”, os peritos da Kaspersky acreditam que o módulo malicioso IIS pode ter sido alavancado pelo atacante GELSEMIUM, como parte das suas operações de espionagem.
“A exploração das vulnerabilidades do servidor exchange está entre as favoritas dos cibercriminosos que estão desde o primeiro trimestre de 2021 a tentar aceder a infraestruturas-alvo. Foram mote para uma série de campanhas de ciberespionagem que durante muito tempo passaram despercebidas. O recém-descoberto SessionManager ficou um ano por detetar e continua ativo. Face à exploração maciça e sem precedentes das vulnerabilidades do lado dos servidores, a maioria profissionais de cibersegurança estavam ocupados a investigar e a responder às primeiras infrações identificadas. Em resultado, ainda é possível, meses ou anos depois, encontrar atividades maliciosas relacionadas, e é provável que seja assim por muito tempo,” comenta Pierre Delcher, Senior Security Researcher na Global Research and Analysis Team da Kaspersky.
“Ganhar visibilidade para ciberameaças reais e recentes é essencial para as empresas protegerem os seus bens. Ataques como este podem resultar em perdas financeiras ou reputacionais significativas e podem perturbar as operações de um alvo. A informação sobre ameaças é a única componente que pode permitir uma antecipação fiável e atempada de tais ameaças. No caso dos servidores Exchange, nunca é demais salientar: as vulnerabilidades do ano passado tornaram-nos alvos perfeitos, qualquer que seja a intenção maliciosa, pelo que devem ser cuidadosamente auditados e monitorizados para implantes ocultos, se ainda não o foram,” acrescenta Pierre.