SessionManager Backdoor IOCs

В начале 2022 года Kaspersky Lab исследовали один из таких бэкдоров IIS: SessionManager. В конце апреля 2022 года большинство выявленных нами образцов все еще не были отмечены как вредоносные в популярной онлайновой службе сканирования файлов, а SessionManager все еще был развернут в более чем 20 организациях.

SessionManager Backdoor

SessionManager использовался против НПО, правительственных, военных и промышленных организаций в Африке, Южной Америке, Азии, Европе, России и на Ближнем Востоке, начиная как минимум с марта 2021 года. Из-за схожих жертв и использования общего варианта OwlProxy Kaspersky Lab считает, что вредоносный модуль IIS мог быть использован GELSEMIUM в рамках операций по шпионажу.

Разработанный на C++, SessionManager представляет собой вредоносный модуль IIS с родным кодом, цель которого - быть загруженным некоторыми приложениями IIS, чтобы обрабатывать легитимные HTTP-запросы, которые постоянно отправляются на сервер.

Такие вредоносные модули обычно ожидают от своих операторов вроде бы легитимные, но специально созданные HTTP-запросы, запускают действия, основанные на скрытых инструкциях операторов, если таковые имеются, затем прозрачно передают запрос на сервер для его обработки, как и любой другой запрос (см. рисунок 1).

В результате такие модули нелегко обнаружить обычными методами мониторинга: они не обязательно инициируют подозрительные соединения с внешними серверами, получают команды через HTTP-запросы к серверу, который специально открыт для таких процессов, а их файлы часто размещаются в незаметных местах, содержащих множество других легитимных файлов.

SessionManager предлагает следующие возможности, которые в совокупности превращают его в легкий постоянный бэкдор с начальным доступом:

  • Чтение, запись и удаление произвольных файлов на взломанном сервере.
  • Выполнение произвольных двоичных файлов со взломанного сервера, также известное как "удаленное выполнение команд".
  • Установление соединений с произвольными конечными точками сети, к которым может обращаться взломанный сервер, а также чтение и запись в таких соединениях.

Indicators of Compromise

IPv4

  • 202.182.123.185
  • 207.148.109.111

MD5

  • 5ffc31841eb3b77f41f0ace61becd8fd
  • 84b20e95d52f38bb4f6c998719660c35
  • 4ee3fb2aba3b82171e6409e253bdddb5
  • 2410d0d7c20597d9b65f237f9c4ce6c9
  • 95ebbf04cefb39db5a08dc288add2bbc
  • f189d8efa0a8e2bee1aa1a6ca18f6c2b
  • 65de95969adbedb589e8dafe903c5381
  • 235804e3577ea3fe13ce1a7795ad5bf9
  • 30cda3dff9123ad3b3885b4ea9ac11a8
  • 5f15b17fa0e88d40d4e426e53cf94549
SEC-1275-1
Добавить комментарий