Expertos de Kaspersky han detectado SessionManager, el backdoor escasamente detectado que se configuró como un módulo malicioso dentro de Internet Information Services (IIS), un popular servidor web editado por Microsoft. Una vez propagado, SessionManager habilita un amplio rango de actividades maliciosas, empezando por recopilar emails para obtener el control total de la infraestructura de la víctima. Empleado por primera vez a finales de marzo de 2021, este backdoor recientemente descubierto ha llegado a atacar a instituciones gubernamentales y ONGs en África, el sudeste asiático, Europa y Oriente Medio. La seguridad de la mayoría de estas organizaciones sigue comprometida a día de hoy.
En diciembre de 2021, Kaspersky desenmascaró “Owowa”, un módulo IIS previamente desconocido que roba credenciales accediendo a través de un usuario cuando éste entra en su cuenta de Outlook Web Access (OWA). Desde entonces, los expertos de la compañía se han mantenido alerta ante la posibilidad de nueva actividad criminal – ha quedado claro que el despliegue de un backdoor dentro de IIS es tendencia entre los cibercriminales -, que previamente explotaron una de las vulnerabilidades de “ProxyLogon-type“ de los servidores de Microsoft Exchange. En una investigación reciente, expertos de Kaspersky han encontrado un nuevo módulo backdoor no deseado, llamado SessionManager.
El backdoor SessionManager permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y con acceso sigiloso a la infraestructura IT de su víctima. Una vez dentro del sistema de su objetivo, los cibercriminales detrás del backdoor pueden conseguir acceso a emails de la empresa, e introducir acceso malicioso instalando otros tipos de malware o administrar de forma clandestina aquellos servidores comprometidos, que pueden extenderse como infraestructura maliciosa.
Una característica distintiva de SessionManager es su bajo ratio de detención. Analistas de Kaspersky descubrieron por primera vez a principios de abril de 2022 que algunas muestras del backdoor aún no se habían notificado como maliciosas en el servicio de escáner de documentos online más popular. Hasta la fecha, SessionManager todavía está desplegado en más de un 90% de las organizaciones infectadas, según el análisis de Internet de los analistas de Kaspersky.
A nivel global, 34 servidores de 24 organizaciones de Europa, Oriente Medio, el sudeste asiático y África han sido comprometidas por SessionManager. El ciberatacante que opera SessionManager muestra un especial interés por ONGs y entidades gubernamentales, pero también se ha dirigido a organizaciones médicas, compañías petroleras y empresas de transporte, entre otras.
Debido a la victimología similar y el uso de la variante “OwlProxy“, expertos de Kaspersky creen que el módulo IIS malicioso ha sido extendido por el atacante GELSEMIUM, como parte de sus operaciones de espionaje.
“La explotación de las vulnerabilidades de servidores Exchange es una tendencia entre los cibercriminales que pretenden entrar en las infraestructuras seleccionadas desde el Q1 de 2021. Especialmente su función deshabilita una serie de campañas de espionaje sin notificar. El recientemente descubierto SessionManager se ha detectado de forma deficiente durante un año y todavía sigue desarrollándose salvajemente. Frente a la explotación masiva y sin precedentes de la vulnerabilidad del servidor lateral, la mayoría de los agentes de ciberseguridad estaban ocupados investigando y respondiendo a los primeros delitos identificados. Como resultado, aún es posible descubrir actividades maliciosas relacionadas meses o años después, y este es probablemente un asunto que va para largo”, comenta Pierre Delcher, Senior Security Researcher en el equipo Global Research and Analysis de Kaspersky
“Conseguir visibilidad en ciberamenazas actuales y recientes es primordial para que las empresas puedan proteger sus activos. Ataques de este calibre pueden resultar en pérdidas financieras y reputacionales significativas y podría interrumpir las operaciones de las empresas. Utilizar inteligencia contra las amenazas es la única acción que puede inhabilitar estos ataques de forma fiable y anticipada. En el caso de los servidores Exchange, no podemos hacer suficiente hincapié: las vulnerabilidades del año pasado los han convertido en objetivos perfectos, sin importar la intención, así que deberían estar cuidadosamente auditados y monitorizados en busca de implantes ocultos, si es que no lo están todavía”, añade Pierre.
Los productos de Kaspersky detectan diversos módulos IIS maliciosos, incluyendo SessionManager.
Para proteger las empresas de estas amenazas, los expertos de Kaspersky también recomiendan:
- Comprobar los módulos IIS cargados en servidores IIS expuestos (especialmente servidores Exchange), aprovechando herramientas preexistentes de la suite de servidores IIS. Verificar estos módulos como parte de su actividad de búsqueda cada vez que una vulnerabilidad se anuncie en productos del servidor Microsoft.
- Concentrar la estrategia de defensa en detectar movimientos laterales y exfiltración de datos a Internet. Prestar especial atención en el tráfico saliente para detectar conexiones cibercriminales. Hacer copias de seguridad regularmente a las que se puedan acceder rápidamente en caso de emergencia.
- Utilizar soluciones como Kaspersky Endpoint Detection and Response y el servicio de Kaspersky Managed Detection and Response, que ayudan a identificar y parar el ataque en las primeras etapas, antes de que los atacantes consigan sus objetivos.
- Asegurarse de tener una solución segura, como Kaspersky Endpoint Security for Business (KESB) que está impulsada por la prevención de explotación, detención de comportamientos y motor de rehabilitación capaz de luchar contra las acciones maliciosas. KESB también cuenta con mecanismos de autodefensa que previenen que los cibercriminales la desactiven.
Kaspersky
Kaspersky es una compañía global de ciberseguridad y privacidad digital fundada en 1997. La profunda experiencia de Kaspersky en inteligencia de amenazas y seguridad se está continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de productos de seguridad de la empresa incluye su reputada solución de protección de endpoints, junto con una serie de soluciones y servicios de seguridad especializados para combatir las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky y ayudamos a 240.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.es
