Обнаружен зловред, шпионящий за госорганами и НКО по всему миру – ЛК
Эксперты «Лаборатории Касперского» обнаружили сложно детектируемый бэкдор SessionManager, который позволяет получить доступ к корпоративной IT-инфраструктуре и выполнять широкий спектр вредоносных действий: читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами, сообщает ЛК в пятницу.
Злоумышленники внедряют зловред дистанционно в виде модуля для Microsoft IIS — набора веб-сервисов, включающего в себя почтовый сервер Exchange. С работой этого сервера сталкивается любой сотрудник компании при использовании корпоративной почты Microsoft. Для распространения SessionManager и других вредоносных IIS-модулей злоумышленники эксплуатируют уязвимость ProxyLogon.
По данным «Лаборатории Касперского», первые атаки с использованием SessionManager были зафиксированы в конце марта 2021 года. Жертвы — преимущественно государственные органы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. К настоящему моменту бэкдор обнаружен на 34 серверах в 24 компаниях. SessionManager часто остаётся незамеченным, так как его плохо выявляют большинство популярных онлайн-сканеров, говорится в сообщении.
Чтобы защитить компании от подобных атак, «Лаборатория Касперского» рекомендует:
- регулярно проверять IIS-модули, загруженные на IIS-серверы (в особенности серверы почтовых ящиков), с помощью входящих в комплект инструментов. Обязательно проводить проверку каждый раз, когда становится известно о крупной уязвимости в серверах Microsoft;
- регулярно и оперативно устанавливать обновления ПО, так как они включают в себя устранение обнаруженных уязвимостей. Компания Microsoft выпустила обновление безопасности для устранения уязвимости ProxyLogon ещё в марте 2021 года;
- сосредоточить стратегию защиты на поиске перемещений по сети и передаче данных в Интернет. Обращать отдельное внимание на исходящий трафик, чтобы вовремя детектировать вредоносные подключения. Регулярно создавать резервные копии данных. Убедиться, что есть возможность быстро получить к ним доступ в случае необходимости;
- использовать защитные решения, которые помогают распознавать и останавливать атаку на ранних стадиях, до того, как злоумышленники достигнут своих целей;
- использовать надёжное защитное решение, которое обладает функциями предотвращения эксплойтов, поведенческого детектирования и отката вредоносных действий.
См. также: ЛК запустила сайт об инструменте для борьбы с программами для цифровой слежки >>>