«Лаборатория Касперского» обнаружила вредоносное ПО, которое шпионит за госорганами и НКО по всему миру

«Лаборатория Касперского» сообщила об обнаружении вредоносного ПО, которое больше года шпионит за госорганами и НКО по всему миру. 

По словам специалистов компании, зловред позволяет получить доступ к корпоративной ИТ-инфраструктуре и выполнять широкий спектр вредоносных действий: читать корпоративную почту, распространять вредоносное ПО и удалённо управлять заражёнными серверами. Злоумышленники внедряют зловред дистанционно как модуль для набора веб-сервисов Microsoft IIS, включающего в себя почтовый сервер Exchange.

Ставшая публично известной в начале 2021 года уязвимость ProxyLogon в сервере Microsoft Exchange дала злоумышленникам новый вектор для атак, которым они активно пользуются, в том числе для загрузки бэкдоров в виде модулей веб-сервера IIS. С помощью одного из таких зловредов, SessionManager, злоумышленники получают стойкий к обновлениям, долговременный и успешно скрываемый доступ к корпоративной ИТ-инфраструктуре, — Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».

В «Лаборатории Касперского» рассказали, что жертвами атак с использованием SessionManager стали государственные органы и некоммерческие организации в Африке, Южной Азии, Европе и на Ближнем Востоке, а также в России. 

К настоящему моменту бэкдор обнаружен на 34 серверах в 24 компаниях. По словам экспертов, SessionManager часто остаётся незамеченным, так как его плохо детектируют большинство популярных онлайн-сканеров. При этом продукты «Лаборатории Касперского» успешно обнаруживают SessionManager и помогают отражать дальнейшие кибератаки с применением этого бэкдора.