Un nuevo malware ha sido identificado por investigadores de la empresa de seguridad Kaspersky quienes descubrieron 34 servidores pertenecientes a 24 organizaciones que han sido infectados con SessionManager desde marzo de 2021. Según los informes los actores de amenazas llevando los últimos 15 meses utilizando una puerta trasera en los servidores de Microsoft Exchange después de haber sido hackeados.
El software malicioso fue denominado SessionManager, este se caracteriza por:
Soltar y administrar archivos arbitrarios en servidores de Microsoft Exchange comprometidos
Ejecución remota de comandos en dispositivos con puerta trasera
Conexión a puntos finales dentro de la red local de la víctima y manipulación del tráfico de la red.
Para ejecutar todo ello, el malware se hace pasar por un módulo legítimo de Servicio de Información de Internet (IIS), el servidor web instalado por defecto en los servidores Exchange. Normalmente las organizaciones suelen desplegar módulos IIS para agilizar procesos específicos en su infraestructura web.
Los módulos IIS maliciosos ofrecen un medio ideal para desplegar puertas traseras potentes, persistentes y sigilosas. Una vez instalados, responden a peticiones HTTP específicamente diseñadas y enviadas por el operador, instruyendo al servidor para que recopile correos electrónicos, añada más accesos maliciosos o utilice los servidores comprometidos para fines clandestinos. Para el ojo inexperto, las peticiones HTTP parecen sencillas, aunque dan al operador el control total de la máquina.
"Estos módulos maliciosos suelen esperar peticiones HTTP aparentemente legítimas pero específicamente diseñadas por sus operadores, desencadenan acciones basadas en las instrucciones ocultas de los operadores, si las hay y luego pasan de forma transparente la petición al servidor para que sea procesada como cualquier otra petición", escribió el investigador de Kaspersky Pierre Delcher. "Como resultado, estos módulos no son fácilmente detectados por las prácticas habituales de monitorización: no necesariamente inician comunicaciones sospechosas a servidores externos, reciben comandos a través de peticiones HTTP a un servidor que está específicamente expuesto a tales procesos y sus archivos se colocan a menudo en ubicaciones olvidadas que contienen un montón de otros archivos legítimos."
Los atacantes trabajan de la siguiente manera: una vez explotada la vulnerabilidad ProxyLogon, los cibercriminales deciden instalar el software malicioso en todos los servidores de Microsoft Exchange. Por el momento, se ha descubierto que las víctimas han sido la ONGs, gobiernos, militares y organizaciones industriales en África, Sudamérica, Asia y Europa.