Servidores de Trade respaldados globalmente por SessionManager



Los atacantes que alguna vez se enfocaron en explotar las vulnerabilidades del servidor ProxyLogon Microsoft Trade han hecho un giro hacia la nueva puerta trasera SessionManager, que se puede usar para obtener acceso persistente y no detectado a los correos electrónicos, e incluso tomar el command de la infraestructura de la organización objetivo.

Los investigadores de Kaspersky informan hoy sobre la aparición de SessionManager, que dicen que es parte de una tendencia más grande de atacantes que implementan módulos maliciosos de puerta trasera dentro de los servidores de Internet Information and facts Expert services (ISS) para Home windows, como los servidores de Trade.

La puerta trasera maliciosa SessionManager, observada por primera vez en marzo de 2021, se ha utilizado para apuntar a organizaciones no gubernamentales (ONG) en África, Europa, Medio Oriente y el sur de Asia, agregan los investigadores. El informe de Kaspersky dice que SessionManager ha comprometido 34 servidores en 24 ONG individuales.

«La explotación de las vulnerabilidades del servidor de Trade ha sido una de las favoritas de los ciberdelincuentes que buscan ingresar a la infraestructura objetivo desde el primer trimestre de 2021», dijo Pierre Delcher, investigador principal de seguridad de Kaspersky, en una publicación sobre los hallazgos. «El SessionManager recientemente descubierto fue mal detectado durante un año y todavía se implementa en la naturaleza».

El equipo de Kaspersky recomienda la búsqueda regular de amenazas para módulos maliciosos en servidores ISS expuestos y centrar la detección en el movimiento lateral a través de la purple, así como un monitoreo cercano de la filtración de datos a Internet.

«En el caso de los servidores de Trade, no podemos enfatizarlo lo suficiente: las vulnerabilidades del año pasado los convirtieron en objetivos perfectos, independientemente de la intención maliciosa, por lo que deben ser auditados y monitoreados cuidadosamente en busca de implantes ocultos, si es que aún no lo han sido», Delcher. prevenido.



Enlace a la noticia unique