Eine neu entdeckte Schadsoftware wird mindestens seit März 2021 in freier Wildbahn eingesetzt, um Microsoft Exchange Server einer Vielzahl von Unternehmen weltweit zu infizieren. Im Juni 2022 waren bereits 20 Unternehmen infiziert.
Das bösartige Tool mit dem Namen SessionManager tarnt sich als ein Modul für Internet Information Services (IIS), eine Webserver-Software für Windows-Systeme, und nutzt eine der ProxyLogon-Schwachstellen in Exchange-Servern aus.
Zu den Zielen gehörten 24 verschiedene NGOs, Regierungs-, Militär- und Industrieorganisationen in Afrika, Südamerika, Asien, Europa, Russland und dem Nahen Osten. Insgesamt wurden bis heute 34 Server durch eine SessionManager-Variante kompromittiert.
Das ist bei weitem nicht das erste Mal, dass diese Technik bei Angriffen in der realen Welt beobachtet wurde. Die Verwendung eines betrügerischen IIS-Moduls als Mittel zur Verbreitung heimlicher Implantate findet ihren Widerhall in einem Outlook-Anmeldedatenklau namens Owowa, der im Dezember 2021 aufgedeckt wurde.
„Das Einschleusen eines IIS-Moduls als Backdoor ermöglicht Bedrohungsakteuren einen dauerhaften, aktualisierungsresistenten und relativ unauffälligen Zugang zur IT-Infrastruktur eines Zielunternehmens, sei es, um E-Mails zu sammeln, weitere bösartige Zugänge zu aktualisieren oder heimlich kompromittierte Server zu verwalten, die als bösartige Infrastruktur genutzt werden können“, so Kaspersky-Forscher Pierre Delcher.
Die russische Cybersecurity-Firma schreibt die Eindringlinge mit mittlerer bis hoher Wahrscheinlichkeit einem Gegner zu, der als Gelsemium bekannt ist, und beruft sich dabei auf Überschneidungen bei den Malware-Samples, die mit den beiden Gruppen in Verbindung gebracht werden, und bei den angegriffenen Opfern.
ProxyLogon hat seit seiner Enthüllung im März 2021 wiederholt die Aufmerksamkeit verschiedener Bedrohungsakteure auf sich gezogen, und die jüngste Angriffskette bildet da keine Ausnahme. Die Gelsemium-Crew nutzt die Schwachstelle aus, um SessionManager einzuschleusen, eine Backdoor, die in C++ programmiert ist und dazu dient, an den Server gesendete HTTP-Anfragen zu verarbeiten.
„Solche bösartigen Module erwarten in der Regel scheinbar legitime, aber speziell gestaltete HTTP-Anfragen von ihren Betreibern, lösen Aktionen aus, die auf den versteckten Anweisungen der Betreiber basieren, und leiten die Anfrage dann transparent an den Server weiter, damit sie wie jede andere Anfrage bearbeitet wird“, erklärt Delcher.
Der SessionManager, der als „leichtgewichtige, dauerhafte Hintertür für den Erstzugang“ bezeichnet wird, verfügt über die Fähigkeit, beliebige Dateien zu lesen, zu schreiben und zu löschen, Binärdateien vom Server auszuführen und die Kommunikation mit anderen Endpunkten im Netzwerk herzustellen.
Die Malware fungiert außerdem als verdeckter Kanal für die Erkundung, das Sammeln von Passwörtern im Speicher und die Bereitstellung zusätzlicher Tools wie Mimikatz und ein Speicherauszugsprogramm von Avast.
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) Regierungsbehörden und Unternehmen des privaten Sektors, die die Exchange-Plattform nutzen, dazu auffordert, von der alten Basic Authentication-Methode auf eine moderne Authentifizierungsalternative umzusteigen, bevor diese am 1. Oktober 2022 ausläuft.