Исследователи Лаборатории Касперского обнаружили новое незаметное вредоносное ПО, которое хакеры использовали в течение последних 15 месяцев для получения постоянного доступа к серверам Microsoft Exchange после их взлома.
Вредоносная программа, получившая название SessionManager, выдает себя за легитимный модуль для веб-сервера, установленного по умолчанию на серверах Exchange. Организации часто устанавливают такие модули для оптимизации определенных процессов в своей веб-инфраструктуре. Исследователи из Лаборатории Касперского выявили 34 сервера, принадлежащих 24 организациям, которые были заражены SessionManager с марта 2021 года. На данный момент 20 организаций оставаются зараженными.
После развертывания SessionManager хакеры использовали его для дальнейшего профилирования зараженной среды, сбора паролей, хранящихся в памяти, и установки дополнительных инструментов, включая рефлексивный загрузчик на основе PowerSploit, Mimikat SSP, ProcDump и легитимный инструмент дампа памяти Avast. Касперский получил несколько вариантов SessionManager, которые датируются как минимум мартом 2021 года. Образцы демонстрируют постоянную эволюцию, в ходе которой с каждой новой версией добавлялось все больше функций.
Источник: Ferra