Selon un article de blog par Ars Technicales chercheurs ont identifié un nouveau logiciel malveillant appelé SessionManager que les pirates utilisent pour détourner les serveurs Microsoft Exchange depuis 15 mois.
Internet Information Services (IIS) est installé en tant que serveur Web par défaut sur les serveurs Exchange, que les organisations utilisent pour « déployer des modules IIS afin de rationaliser des processus spécifiques sur leur infrastructure Web ». Le logiciel malveillant en retour a alors exploité cela et s’est ensuite présenté comme un module légitime.
D’après les informations recueillies par les chercheurs de Kaspersky, « 34 serveurs appartenant à 24 organisations ont été infectés par SessionManager depuis mars 2021 ». Plus tôt en juin, Kaspersky avait indiqué que 20 des organisations restaient toujours affectées par le malware.
SessionManager fournit « un moyen idéal pour déployer des portes dérobées puissantes, persistantes et furtives ». Cela signifie qu’ils peuvent répondre aux requêtes HTTP spécialement conçues envoyées par l’opérateur, ce qui en retour aide les pirates à obtenir des informations cruciales à partir des e-mails et accélère leur accès. Il est assez difficile pour quelqu’un de distinguer les requêtes HTTP régulières de ces requêtes malveillantes.
Selon le article de blog, « De tels modules malveillants s’attendent généralement à des requêtes HTTP apparemment légitimes mais spécialement conçues de la part de leurs opérateurs, déclenchent des actions basées sur les instructions cachées des opérateurs, le cas échéant, puis transmettent de manière transparente la requête au serveur pour qu’elle soit traitée comme n’importe quelle autre requête. » Pierre Delcher, chercheur chez Kaspersky, a écrit. « En conséquence, de tels modules ne sont pas facilement repérables par les pratiques de surveillance habituelles : ils n’initient pas nécessairement des communications suspectes vers des serveurs externes, reçoivent des commandes via des requêtes HTTP vers un serveur qui est spécifiquement exposé à de tels processus, et leurs fichiers sont souvent placés dans des emplacements négligés qui contiennent beaucoup d’autres fichiers légitimes.
Le logiciel malveillant prend alors le contrôle de votre appareil où l’utilisateur peut désormais accéder aux mots de passe stockés dans votre mémoire et même installer des outils supplémentaires tels que le chargeur réfléchissant basé sur PowerSploit, Mimikat SSP, ProcDump et un outil de vidage de mémoire Avast légitime.
Kaspersky a en outre indiqué qu’ils spéculaient qu’un groupe de pirates identifié comme Gelsemium pourrait être derrière SessionManager. Ils ont également souligné qu’il s’agit d’un processus compliqué pour contourner ce problème.
