Microsoft Exchange Server, un malware nascosto da più di un anno installa backdoor e altri strumenti di compromissione

I ricercatori di sicurezza di Kaspersky hanno identificato un nuovo malware nascosto, battezzato SessionManager, che è stato sfruttato negli ultimi 15 mesi per collocare una backdoor all'interno di server Microsoft Exchange dopo la loro violazione. I ricercatori hanno identificato 34server appartenenti a 24 organizzazioni che sono state infettate da SessionManager a partire da marzo 2021. Alla fine di aprile 2022 ancora 20 organizzazioni sono risultate infette.

SessionManager appare come un modulo legittimo per Internet Information Services, il server Web che viene installato come impostazione predefinita sui server Exchange. I moduli IIS sono spesso utilizzati per rendere più semplici alcuni processi specifici sull'infrastruttura web delle organizzazioni e proprio per questo rappresentano un mezzo ideale per implementare backdoor che possono mantenere a lungo la persistenza sui sistemi.

Un modulo IIS dannoso può essere realizzato allo scopo di rispondere a richieste HTTP appositamente predisposte dall'attore di minaccia per istruire il server a raccogliere email, installare altri punti d'accesso o compiere azioni clandestine ed illecite. Le richieste HTTP possono apparire insignificanti ad uno sguardo superficiale poiché non necessariamente portano ad instaurare comunicazioni sospette vero server esterni, ma di fatto danno all'attore di minaccia il controllo completo sulla macchina.

L'installazione di SessionManager avviene a valle dello sfruttamento di vulnerabilità già note, come ad esempio ProxyLogon. Una volta che SessionManager è stato recapitato, i loro operatori lo utilizzano per analizzare l'ambiente infetto e comprenderne le caratteristiche, oltre a raccogliere le possibili credenziali di accesso disponibili e installare eventuali strumenti ausiliari che possano semplificare le loro azioni. In quest'ultimo caso i ricercatori hanno riscontrato strumenti come PowerSploit, Mimikat SSP, ProcDump e anche uno strumento legittimo di Avast che si occupa di effettuare operazioni di dump dalla memoria.

I ricercatori di Kaspersky sono riusciti a reperire più varianti di SessionManager che risalgono, come detto, almeno a marzo 2021 e mostrano un'evoluzione costante del malware che vede sempre più funzionalità ad ogni nuovo aggiornamento. Secondo i ricercatori vi sono diversi elementi che contribuiscono ad identificare con un certo grado di attendibilità un attore di minacce chiamato Gelsemium (e già noto in precedenza: ESET ne ha pubblicato un'analisi lo scorso anno) come mano dietro alla distribuzione di SessionManager. Tra le vittime i ricercatori hanno indicato ONG, governi, forze armate e industrie in Africa, Sud America, Asia ed Europa.