後門程式SessionManager攻擊全球Exchange Server 修補更新也消滅不了?

近日安全專家發現駭客發動攻擊,在歐洲、中東、亞洲及非洲的政府、軍事及非政府組織的微軟Exchange Server植入後門程式,包括台灣。

近日安全專家發現駭客發動攻擊,在歐洲、中東、亞洲及非洲的政府、軍事及非政府組織的微軟Exchange Server植入後門程式,包括台灣。

安全廠商卡巴斯基首先於2020年初發現這隻名為SessionManager的惡意程式,它是一直專為微軟IIS網頁伺服器設計的原生程式碼模組。

攻擊活動至少2021年3月就開始,大約和去年中國國家駭客攻擊Exchange Server ProxyLogon漏洞同時,但一直沒被發現。

修補更新消滅不了的SessionManager

SessionManager讓攻擊者得以在受害系統內滲透潛伏,不受電腦更新破壞,且可暗中存取大型目標組織IT基礎架構。SessionManager功能包括在受害伺服器內植入和管理任意檔案、遠端執行指令、連結和伺服器同一網路的端點裝置,並操縱網路流量。一旦植入受害者的Exchange Server,攻擊者就可植入其他惡意程式存取受害者電子郵件、自我更新,或是將受害伺服器當成惡意攻擊跳板來管理。

卡巴斯基今年4月發現的惡意程式部署在24個組織的34台伺服器上,包括NGO、政府、醫療機構、石油及運輸業,受害者分佈於歐洲、中東、南亞及非洲。90%都還在運作,且仍未被線上掃瞄服務VirusTotal發現。

在部署到Exchange Server服務後,惡意IIS模組可讓背後營運的駭客從系統記憶體取得帳密等憑證資料、從受害網路或終端裝置蒐集資訊,再安裝其他惡意程式,包括程式下載器Mimikatz或合法記憶體傾印工具(memory dump tool) Avast、Mimikatz SSP、ProcDump等。

根據駭客使用的策略、手法和工具,卡巴斯基相信SessionManager IIS後門程式的操作者可能是國家級駭客組織Gelsemium,正在發動全球間諜行動。Gelsemium在2014年被首次發現,2020年到2021年它也涉嫌攻擊NoxPlayer Android模擬程式,以感染1.5億台Windows 及MacOS機器。

來源:Bleeping Computer

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416