IT之家 7 月(yuè) 2 日消息,卡巴斯基的(de)安全團隊本周四發布了(le)一份令人(rén)擔憂的(de)報告。報告指出在 Exchange 服務器上發現了(le)一個(gè)全新的(de)、難以檢測的(de)後門,該後門可(kě)用(yòng)于獲取長(cháng)久的(de)、未被檢測到的(de)電子郵件訪問權限,甚至接管目标組織的(de)基礎設施,而這(zhè)正是曾經專注于利用(yòng) ProxyLogon Microsoft Exchange 服務器漏洞的(de)攻擊者發現的(de)新漏洞。
卡巴斯基的(de)研究人(rén)員(yuán)表示,現在的(de)攻擊者逐漸呈現出一種趨勢,他(tā)們将惡意後門模塊部署在 Windows 的(de)互聯網信息服務 (IIS) 服務器(如 Exchange 服務器)中,從而引起類似 SessionManager 的(de)一系列高(gāo)危漏洞。
IT之家了(le)解到, SessionManager 惡意軟件常常僞裝成 Internet 信息服務 (IIS) 的(de)合法模塊,而 IIS 正是默認安裝在 Exchange 服務器上的(de) Web 服務。組織經常部署 IIS 模塊以簡化(huà)其 Web 基礎架構上的(de)特定工作流程。
卡巴斯基報告稱,目前已經有 24 個(gè)非政府組織的(de) 34 個(gè)服務器已被 SessionManager 進行入侵。截至本月(yuè)初,仍有 20 個(gè)組織受到感染。
研究人(rén)員(yuán)補充道,SessionManager 後門于 2021 年 3 月(yuè)首次發現,已被用(yòng)于針對(duì)非洲、歐洲、中東和(hé)南(nán)亞的(de)非政府組織 (ngo)。
卡巴斯基高(gāo)級安全研究員(yuán)皮埃爾・德爾徹 (Pierre Delcher) 表示:“自 2021 年第一季度以來(lái),利用(yòng) Exchange 服務器漏洞一直是網絡罪犯想要進入目标基礎設施的(de)首選”“最近發現的(de) SessionManager 一年多(duō)來(lái)都沒有被發現,現在仍然在被人(rén)利用(yòng)。”
卡巴斯基團隊建議(yì)定期對(duì)暴露在外的(de) ISS 服務器中的(de)惡意模塊進行篩查,重點檢測網絡上的(de)橫向移動部分(fēn),并密切監控數據流動,以避免數據被洩露。
德爾徹警告說:“就 Exchange 服務器而言,值得(de)我們多(duō)次強調:過去一年的(de)漏洞已經讓它們成爲了(le)完美(měi)的(de)攻擊目标,無論其惡意意圖如何,所以它們應該被仔細審計和(hé)監控,以防被隐藏地植入設備,如果它們還(hái)沒有被隐藏的(de)話(huà)。”