Backdoor 'SessionManager' mới nhắm mục tiêu tới máy chủ Microsoft IIS trong thực tế.

Một phần mềm độc hại mới được phát hiện đã được đưa vào sử dụng trong thực tế ít nhất kể từ tháng 3 năm 2021 để lại hậu quả cho các máy chủ Microsoft Exchange thuộc nhiều tổ chức trên toàn thế giới, với sự lây nhiễm vẫn tồn tại ở 20 tổ chức tính đến tháng 6 năm 2022.
Được đặt tên là SessionManager, công cụ độc hại giả dạng mô-đun cho Internet Information Services (IIS), một phần mềm máy chủ web dành cho hệ thống Windows, sau khi khai thác một trong những lỗ hổng ProxyLogon trong máy chủ Exchange.
Các mục tiêu bao gồm 24 tổ chức phi chính phủ, chính phủ, quân đội và tổ chức công nghiệp khác nhau trải dài khắp Châu Phi, Nam Mỹ, Châu Á, Châu Âu, Nga và Trung Đông. Tổng cộng 34 máy chủ đã bị xâm nhập bởi một biến thể SessionManager cho đến nay.
Phần mềm độc hại này còn hoạt động như một kênh bí mật để tiến hành do thám, thu thập mật khẩu trong bộ nhớ và cung cấp các công cụ bổ sung như Mimikatz cũng như tiện ích kết xuất bộ nhớ từ Avast.
Phát hiện này được đưa ra khi Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) kêu gọi các cơ quan chính phủ và các tổ chức tư nhân sử dụng nền tảng Exchange chuyển từ phương pháp xác thực cơ bản sang các lựa chọn thay thế xác thực hiện đại trước khi ngừng sử dụng vào ngày 1 tháng 10 năm 2022.

Chi tiết xem thêm tại : Link

Backdoor 'SessionManager' mới nhắm mục tiêu tới máy chủ Microsoft IIS trong thực tế.

Các tin khác

Trụ sở chính

Văn phòng giao dịch