Karspersky descubre una puerta trasera que se configuró como módulo malicioso dentro de IIS

AS-061-2022

Fecha: 1/Julio/2022

Resumen:

Los expertos de Kaspersky han sacado a la luz una puerta trasera denominada SessionManager, este malware se configuró como un módulo malicioso dentro de Internet Information Services (IIS), un popular servidor web de Microsoft. Una vez propagado, SessionManager permite una amplia gama de actividades maliciosas, desde la recopilación de correos electrónicos hasta el control completo sobre la infraestructura de la víctima.

Este malware permite también a los actores maliciosos mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso a la infraestructura de TI de una organización objetivo.

Las capacidades del malware SessionManager incluyen, entre otras características:

• Soltar y administrar archivos arbitrarios en servidores comprometidos.
• Ejecución remota de comandos en dispositivos con puerta trasera.
• Conectarse a puntos finales dentro de la red local de la víctima y manipular el tráfico de la red.

El actor malicioso Gelsemium APT  es un grupo conocido principalmente por apuntar a gobiernos, fabricantes de productos electrónicos y universidades del este de Asia y Medio Oriente y, en su mayoría, por pasar desapercibido, el cual ha usado esta puerta trasera como parte de un espionaje a nivel mundial.

Referencias:

https://www.kaspersky.com/about/press-releases/2022_kaspersky-discovers-poorly-detected-backdoor-targeting-governments-and-ngos-around-the-globe
https://www.bleepingcomputer.com/news/security/microsoft-exchange-servers-worldwide-backdoored-with-new-malware/
https://www.darkreading.com/attacks-breaches/new-sessionmanager-exchange-server-backdoor-globally