新型后门利用ProxyLogon漏洞入侵并伪装成IIS模块在全球传播

新的“ sessionmanager”后门针对野外Microsoft IIS服务器

最近的网络安全研究中发现,一种在全球范围内针对微软Exchange服务器进行入侵的恶意程序曝光,该恶意程序从2021年3月以来在全球传播,截止今年6月仍有超20个组织机构的网络中感染该恶意程序没有彻底清除干净。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该恶意程序被称为 SessionManager ,利用 Exchange 服务器中的一个 ProxyLogon 漏洞后伪装成微软IIS的模块,IIS是一种 Windows 服务器的 Web 服务软件。

通过IIS模块作为分发隐秘植入的恶意程序,早在2021年12月曝光的名为Owowa的Outlook凭据窃取恶意程序中被发现使用了该技术。

网络安全研究人员称,将IIS模块后门程序删除后,黑客还是可以在目标组织的IT基础设施中持久化,并保持相对隐秘的访问,可以持续收集电子邮件,以及进行进一步的恶意访问,并对入侵的服务器进行秘密管理,将这些被入侵的服务器作为恶意程序的基础设施进行利用。

卡巴斯基安全研究团队在对恶意程序样本进行分析后,认为该恶意程序归因于名为Gelsemium的黑客组织,理由是它们的恶意程序样本在逆向分析时发现存在大量重叠的部分。

新的“ sessionmanager”后门针对野外Microsoft IIS服务器

SessionManager 恶意程序被称为轻量级的持久的初始访问后门,具有读、写、删除任意文件的功能,从服务器执行二进制文件的功能,并与网络中的其他端点建立通信的功能。

该恶意软件进一步充当了一个秘密通道,用于进行侦察、收集内存中的密码,并调用其他工具,例如 Mimikatz 以及 Avast 的内存转储程序。

美国网络安全和基础设施安全局 (CISA)警告使用微软 Exchange 平台的组织机构在 2022 年 10 月 1 日之前切换到新的身份验证方法,以避免ProxyLogon漏洞的持续的安全威胁。

 

新型后门利用ProxyLogon漏洞入侵并伪装成IIS模块在全球传播

极牛网精选文章《新型后门利用ProxyLogon漏洞入侵并伪装成IIS模块在全球传播》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19971.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年6月30日 上午11:33
下一篇 2022年7月6日 上午11:24

相关推荐

发表回复

登录后才能评论