ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์
ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"
"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"
ความสามารถของ SessionManager รวมถึงคุณสมบัติอื่นๆ :
- ติดตั้ง ลบ หรือจัดการไฟล์ต่างๆ บนเซิร์ฟเวอร์ที่ถูกโจมตีได้ตามต้องการ
- สั่งรัน command ต่างๆ ได้ตามต้องการ
- เชื่อมต่อไปยังระบบอื่นๆ รวมถึงจัดการการรับส่งข้อมูลบนเครือข่ายของเหยื่อ
ในช่วงปลายเดือนเมษายน 2022 ขณะที่ Kaspersky กำลังตรวจสอบการโจมตีอยู่อย่างต่อเนื่อง พวกเขาพบว่ามัลแวร์ดังกล่าวยังคงถูกติดตั้งอยู่บนเซิร์ฟเวอร์กว่า 34 แห่งจาก 24 องค์กร และยังคงทำงานอยู่จนถึงเดือนมิถุนายน 2022
นอกจากนี้หลายเดือนหลังจากที่ถูกพบครั้งแรก SessionManager ก็ยังไม่ถูกระบุว่าเป็นมัลแวร์จากหลายๆ ระบบที่ให้บริการ online file scanning
นอกจากการที่มัลแวร์จะสามารถเก็บข้อมูล credentials ได้จาก system memory, ข้อมูลสำคัญบนเครือข่ายของเหยื่อได้แล้ว มันยังสามารถนำเครื่องมืออื่นๆ เช่น PowerSploit, Mimikatz SSP, ProcDump และ Avast memory dump tool มาใช้งานเพิ่มเติมได้อีกด้วย
Pierre Delcher นักวิจัยด้านความปลอดภัยอาวุโสที่ Kaspersky ระบุว่า "การโจมตีด้วยช่องโหว่ Exchange servers เป็นที่นิยมจากผู้โจมตีตั้งแต่ Q1 2021 ซึ่ง SessionManager ที่พึ่งถูกค้นพบเมื่อเร็วๆ นี้ถูกใช้งานมาเป็นเวลามากกว่าหนึ่งปีแล้ว และปัจจุบันก็ยังคงถูกใช้งานอยู่”
Kaspersky ค้นพบมัลแวร์ SessionManager โดยบังเอิญ ในขณะที่กำลังค้นหา IIS backdoors ที่คล้ายกับ Owowa ซึ่งเป็น IIS module ที่เป็นอันตรายอีกตัวหนึ่งที่ถูกใช้โดยผู้โจมตีบนเซิร์ฟเวอร์ Microsoft Exchange Outlook Web Access ตั้งแต่ปลายปี 2020 เพื่อขโมยข้อมูล credentials ของ Exchange
การเชื่อมโยงกับกลุ่ม Gelsemium APT
จากเหยื่อที่คล้ายคลึงกัน และการใช้ HTTP server-type backdoor ที่ชื่อ OwlProxy ผู้เชี่ยวชาญด้านความปลอดภัยของ Kaspersky เชื่อว่า backdoor SessionManager IIS ที่ถูกใช้ในการโจมตีเหล่านี้มาจากกลุ่ม Gelsemium ซึ่งเป็นส่วนหนึ่งของปฏิบัติการของพวกเขา
กลุ่ม Gelsemium ถูกพบครั้งแรกในช่วงปี 2014 เมื่อ G DATA's SecurityLabs ตรวจพบเครื่องมือที่เป็นอันตรายในขณะที่กำลังตรวจสอบแคมเปญจารกรรมทางไซเบอร์ที่ชื่อว่า "Operation TooHash" และในปี 2016 ก็พบปฏิบัติการใหม่ที่เกี่ยวข้องกับกลุ่ม Gelsemium จากรายงานของ Verint Systems ระหว่างการประชุม HITCON
สองปีต่อมาในปี 2018 VenusTech ได้เผยแพร่ตัวอย่างมัลแวร์ที่เชื่อมโยงกับ Operation TooHash และกลุ่ม APT ที่ไม่ทราบชื่อ ซึ่งต่อมาถูกระบุโดย ESET บริษัทรักษาความปลอดภัยทางอินเทอร์เน็ตจากสโลวาเกียว่าเป็นมัลแวร์ Gelsemium รุ่นแรก
ESET ยังเปิดเผยรายงานเมื่อปีที่แล้วว่า Gelsemium มีส่วนเกี่ยวข้องกับ Operation NightScout ซึ่งเป็นการโจมตีแบบ supply-chain attack ที่มุ่งเป้าไปยังระบบอัปเดตของโปรแกรม NoxPlayer Android emulator สำหรับ Windows และ macOS (ที่มีผู้ใช้มากกว่า 150 ล้านคน) ระหว่างช่วงเดือนกันยายน 2020 ถึงมกราคม 2021 โดยกลุ่ม Gelsemium APT ส่วนใหญ่เป็นที่รู้จักจากการโจมตีไปยังรัฐบาล, ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ และมหาวิทยาลัยจากเอเชียตะวันออกและตะวันออกกลาง
ที่มา : bleepingcomputer
You must be logged in to post a comment.