Les chercheurs en cybersécurité de Kaspersky ont récemment découvert un nouveau module IIS, conçu pour voler les informations d'identification saisies par les victimes lors de la connexion à leurs comptes Outlook Web Access (OWA).
Ils ont surnommé le nouveau module de porte dérobée SessionManager et affirment qu'il est persistant, résistant aux mises à jour et furtif. En tirant parti de SessionManager, selon Kaspersky, les pirates peuvent accéder aux e-mails d'entreprise, déposer d'autres charges utiles malveillantes (telles que des ransomwares, par exemple) sur le réseau cible et gérer les serveurs compromis aussi rapidement que possible.
Ce qui distingue SessionManager des autres modules similaires est son faible taux de détection. Ce n'est qu'au début de 2022 que le module a été découvert, et certains des programmes antivirus les plus populaires (s'ouvre dans un nouvel onglet) ne le signalent toujours pas comme malveillant.
Gelsemium
Selon le rapport, SessionManager est désormais déployé dans plus de 90 % des organisations ciblées.
Le module malveillant a réussi à compromettre 34 serveurs appartenant à 24 organisations situées en Europe, au Moyen-Orient, en Asie du Sud et en Afrique. La plupart des victimes sont des organisations non gouvernementales (ONG), a déclaré Kaspersky, mais a ajouté qu'il y avait aussi des organisations médicales, des compagnies pétrolières et des sociétés de transport parmi les victimes.
Bien qu'il soit difficile de dire avec une certitude absolue qui se cache derrière la menace, Kaspersky pense qu'il s'agit d'un groupe connu sous le nom de GELSEMIUM. Il s'agit d'un ancien acteur menaçant, remontant à 2014, qui est connu pour cibler les gouvernements et les organisations religieuses au Moyen-Orient, ainsi qu'en Asie de l'Est.
Kaspersky pense que GELSEMIUM est à l'origine de cette attaque en raison du profil de victime similaire et de l'utilisation de la variante commune "OwlProxy".
Il est conseillé aux organisations soupçonnées d'attaques de module IIS de vérifier régulièrement les modules IIS chargés sur les serveurs IIS exposés, dans le cadre de leurs activités de chasse aux menaces, chaque fois qu'une nouvelle vulnérabilité est annoncée dans les produits serveur Microsoft. .
Ils devraient également axer leurs stratégies défensives sur la détection des mouvements latéraux et l'exfiltration de données.