سرورهای مایکروسافت اکسچنج در سرتاسر جهان با یک درب پشتی جدید مخفی مواجه شده اند

بزرگنمایی (اعتبار: گتی ایماژ)

محققان بدافزار مخفی جدیدی را شناسایی کرده‌اند که تهدیدها طی 15 ماه گذشته از آنها برای نتیجه معکوس در سرورهای Microsoft Exchange پس از هک شدن استفاده کرده‌اند.

این بدافزار که SessionManager نامیده می شود، به عنوان یک ماژول قانونی برای خدمات اطلاعات اینترنتی (IIS)، وب سروری که به طور پیش فرض روی سرورهای Exchange نصب شده است، قرار می گیرد. سازمان ها اغلب ماژول های IIS را برای ساده سازی فرآیندهای خاص در زیرساخت وب خود پیاده سازی می کنند. محققان شرکت امنیتی کسپرسکی 34 سرور متعلق به 24 سازمان را شناسایی کرده‌اند که از مارس 2021 به SessionManager آلوده شده‌اند. کسپرسکی گفت تا اوایل این ماه، 20 سازمان همچنان آلوده بودند.

پنهان کاری، پشتکار، قدرت

ماژول‌های IIS مخرب ابزاری ایده‌آل برای استقرار درهای پشتی قدرتمند، پایدار و مخفی ارائه می‌دهند. پس از نصب، آنها به درخواست‌های HTTP ساخته‌شده توسط اپراتور پاسخ می‌دهند و به سرور دستور می‌دهند ایمیل‌ها را جمع‌آوری کند، دسترسی مخرب اضافی اضافه کند یا از سرورهای در معرض خطر برای مقاصد مخفی استفاده کند. برای چشمی که آموزش ندیده، درخواست‌های HTTP نامحسوس به نظر می‌رسند، حتی اگر به اپراتور کنترل کامل دستگاه را بدهند.