• Mon. Aug 8th, 2022

Pintu belakang tersembunyi telah menargetkan server Microsoft Exchange di seluruh dunia

Kentang panas: Jika seseorang membutuhkan lebih banyak indikasi bahwa keamanan server Microsoft Exchange masih terlihat seperti keju Swiss, aktor ancaman yang dikenal sebagai Gelsemium telah menyediakannya. Peneliti keamanan di Kaspersky yakin kelompok tersebut telah menggunakan malware tersembunyi yang dijuluki SessionManager untuk menyerang infrastruktur server organisasi publik di seluruh dunia selama lebih dari setahun.

Pada hari Kamis, peneliti Kaspersky menerbitkan laporan yang mengkhawatirkan mengenai pintu belakang baru yang sulit dideteksi yang menargetkan server Exchange yang digunakan oleh pemerintah dan lembaga medis, organisasi militer, dan LSM di banyak negara. Malware, yang dijuluki SessionManager, pertama kali terlihat pada awal 2022.

Pada saat itu, beberapa sampel malware yang diamati oleh analis tidak ditandai oleh banyak layanan pemindaian file online populer. Selanjutnya, infeksi SessionManager tetap ada di lebih dari 90 persen organisasi yang ditargetkan.

Pelaku ancaman di balik SessionManager telah menggunakannya selama 15 bulan terakhir. Kaspersky menduga kelompok peretas bernama Gelsemium bertanggung jawab atas serangan tersebut karena pola peretasan sesuai dengan MO kelompok tersebut. Namun, para analis tidak dapat memastikan bahwa Gelsemium adalah biang keladinya.

Malware ini menggunakan modul kode asli berbahaya yang kuat yang ditulis untuk perangkat lunak server web Layanan Informasi Internet (IIS) Microsoft. Setelah diinstal, mereka akan menanggapi permintaan HTTP khusus untuk mengumpulkan informasi sensitif. Penyerang juga dapat mengambil kendali penuh atas server, menyebarkan alat peretasan tambahan, dan menggunakannya untuk tujuan jahat lainnya.

Menariknya, proses menginstal SessionManager bergantung pada eksploitasi serangkaian kerentanan yang secara kolektif disebut ProxyLogon (CVE-2021-26855). Tahun lalu, Microsoft mengatakan bahwa lebih dari 90 persen server Exchange telah ditambal atau dikurangi, tetapi itu masih membuat banyak server yang sudah disusupi dalam bahaya.

Proses disinfeksi cukup rumit, tetapi peneliti Kaspersky telah memberikan beberapa petunjuk untuk melindungi organisasi Anda dari ancaman seperti SessionManager. Anda juga dapat berkonsultasi dengan Securelist untuk informasi yang lebih relevan tentang bagaimana SessionManager beroperasi dan indikator kompromi.