В начале 2022 года Kaspersky Lab исследовали один из таких бэкдоров IIS: SessionManager. В конце апреля 2022 года большинство выявленных нами образцов все еще не были отмечены как вредоносные в популярной онлайновой службе сканирования файлов, а SessionManager все еще был развернут в более чем 20 организациях.
SessionManager Backdoor
SessionManager использовался против НПО, правительственных, военных и промышленных организаций в Африке, Южной Америке, Азии, Европе, России и на Ближнем Востоке, начиная как минимум с марта 2021 года. Из-за схожих жертв и использования общего варианта OwlProxy Kaspersky Lab считает, что вредоносный модуль IIS мог быть использован GELSEMIUM в рамках операций по шпионажу.
Разработанный на C++, SessionManager представляет собой вредоносный модуль IIS с родным кодом, цель которого - быть загруженным некоторыми приложениями IIS, чтобы обрабатывать легитимные HTTP-запросы, которые постоянно отправляются на сервер.
Такие вредоносные модули обычно ожидают от своих операторов вроде бы легитимные, но специально созданные HTTP-запросы, запускают действия, основанные на скрытых инструкциях операторов, если таковые имеются, затем прозрачно передают запрос на сервер для его обработки, как и любой другой запрос (см. рисунок 1).
В результате такие модули нелегко обнаружить обычными методами мониторинга: они не обязательно инициируют подозрительные соединения с внешними серверами, получают команды через HTTP-запросы к серверу, который специально открыт для таких процессов, а их файлы часто размещаются в незаметных местах, содержащих множество других легитимных файлов.
SessionManager предлагает следующие возможности, которые в совокупности превращают его в легкий постоянный бэкдор с начальным доступом:
- Чтение, запись и удаление произвольных файлов на взломанном сервере.
- Выполнение произвольных двоичных файлов со взломанного сервера, также известное как "удаленное выполнение команд".
- Установление соединений с произвольными конечными точками сети, к которым может обращаться взломанный сервер, а также чтение и запись в таких соединениях.
Indicators of Compromise
IPv4
- 202.182.123.185
- 207.148.109.111
MD5
- 5ffc31841eb3b77f41f0ace61becd8fd
- 84b20e95d52f38bb4f6c998719660c35
- 4ee3fb2aba3b82171e6409e253bdddb5
- 2410d0d7c20597d9b65f237f9c4ce6c9
- 95ebbf04cefb39db5a08dc288add2bbc
- f189d8efa0a8e2bee1aa1a6ca18f6c2b
- 65de95969adbedb589e8dafe903c5381
- 235804e3577ea3fe13ce1a7795ad5bf9
- 30cda3dff9123ad3b3885b4ea9ac11a8
- 5f15b17fa0e88d40d4e426e53cf94549