Les chercheurs en cybersécurité de Kaspersky ont récemment découvert un tout nouveau module IIS, conçu pour voler les informations d’identification que les victimes saisissent lorsqu’elles se connectent à leurs comptes Outlook Web Access (OWA).
Ils ont baptisé le nouveau module de porte dérobée SessionManager et affirment qu’il est persistant, résistant aux mises à jour et furtif. En tirant parti de SessionManager, selon Kaspersky, les pirates peuvent accéder aux e-mails de l’entreprise, déposer d’autres charges utiles malveillantes (telles que des rançongiciels, par exemple) sur le réseau cible et gérer les serveurs compromis dans le plus grand secret.
Ce qui distingue SessionManager des autres modules similaires, c’est son faible taux de détection. Ce n’est qu’au début de 2022 que le module a été découvert, et encore certains des programmes antivirus les plus populaires (s’ouvre dans un nouvel onglet) ne le signalez pas comme malveillant.
Gelsemium
Selon le rapport, SessionManager est aujourd’hui déployé dans plus de 90% des organisations ciblées.
Le module malveillant a réussi à compromettre 34 serveurs appartenant à 24 organisations situées en Europe, au Moyen-Orient, en Asie du Sud et en Afrique. La plupart des victimes sont des organisations non gouvernementales (ONG), a déclaré Kaspersky, mais a ajouté qu’il y avait également des organisations médicales, des compagnies pétrolières ainsi que des sociétés de transport parmi les victimes.
Bien qu’il soit difficile de dire avec une certitude absolue qui est l’auteur de la menace, Kaspersky pense qu’il s’agit d’un groupe connu sous le nom de GELSEMIUM. Il s’agit d’un ancien acteur de la menace, datant de 2014, qui est connu pour cibler les gouvernements et les organisations religieuses au Moyen-Orient, ainsi qu’en Asie de l’Est.
Kaspersky pense que GELSEMIUM est à l’origine de cette attaque en raison du profil similaire de la victime et de l’utilisation de la variante commune « OwlProxy ».
Il est conseillé aux entreprises qui se méfient des attaques de modules IIS de vérifier régulièrement les modules IIS chargés sur les serveurs IIS exposés, dans le cadre de leurs activités de chasse aux menaces, chaque fois qu’une nouvelle vulnérabilité est annoncée sur les produits serveur Microsoft.
Ils devraient également concentrer leurs stratégies défensives sur la détection des mouvements latéraux et de l’exfiltration de données.