Skip to main

Une fois propagé, SessionManager rend possible un large éventail d'activités malveillantes, allant de la collecte d'emails au contrôle total de l'infrastructure de la victime. Utilisée pour la première fois fin mars 2021, la porte dérobée récemment découverte a touché des institutions gouvernementales et des ONG en Afrique, en Asie du Sud, en Europe et au Moyen-Orient. La plupart des organisations ciblées sont toujours compromises à ce jour.

En décembre 2021, Kaspersky découvrait Owowa, un module IIS jusqu'alors inconnu qui vole les identifiants saisis par un utilisateur lorsqu'il se connecte à Outlook Web Access (OWA). Depuis, les experts de Kaspersky ont surveillé ce nouveau phénomène d'activité cybercriminelle. Le déploiement d'une porte dérobée au sein d'IIS se révèle clairement être une tendance parmi les acteurs de la menace, qui exploitaient précédemment l'une des vulnérabilités de type "ProxyLogon" au sein des serveurs Microsoft Exchange. Lors d'une récente enquête, les experts de Kaspersky ont découvert un nouveau module indésirable de porte dérobée, baptisé SessionManager.

Le backdoor SessionManager permet aux acteurs malveillants de conserver un accès permanent et plutôt discret à l'infrastructure informatique de l’organisation ciblée, tout en résistant aux mises à jour. Une fois installée dans le système de la victime, la porte dérobée (backdoor) permet aux cybercriminels à son origine d’accéder aux courriels de l'entreprise, mettre à jour d'autres accès malveillants en installant d'autres types de logiciels malveillants, ou gérer clandestinement des serveurs compromis, pouvant servir d’infrastructure malveillante.

SessionManager se distingue notamment par son faible taux de détection. Découverts pour la première fois par les chercheurs de Kaspersky en début d’année 2022, certains des échantillons de backdoor n'étaient toujours pas signalés comme malveillants par les services les plus populaires d'analyse de fichiers. À ce jour, SessionManager est toujours déployé dans plus de 90 % des organisations ciblées, selon une analyse Internet réalisée par les chercheurs de Kaspersky.

Au total, 34 serveurs de 24 organisations d'Europe, du Moyen-Orient, d'Asie du Sud et d'Afrique ont été infiltrés par SessionManager. L'acteur qui exploite SessionManager montre un intérêt particulier pour les ONG et les entités gouvernementales, mais il cible aussi entre autres les organismes médicaux, les compagnies pétrolières et les sociétés de transport.

En raison d'une victimologie similaire et de l'utilisation de la variante commune "OwlProxy", les experts de Kaspersky pensent que le module IIS malveillant pourrait avoir été exploité par l'acteur malveillant GELSEMIUM, dans le cadre de ses opérations d'espionnage.

"Afin de protéger leurs actifs, il est primordial pour les entreprises d'obtenir une visibilité sur les cybermenaces réelles et récentes. De telles attaques peuvent entraîner des pertes financières ou de réputation importantes et perturber les opérations d'une cible. Seuls les renseignements sur les menaces permettent de les anticiper de manière fiable et opportune. Dans le cas des serveurs Exchange, on ne le dira jamais assez : les vulnérabilités de l'année dernière en ont fait des cibles parfaites, quelle que soit l'intention malveillante, et ils doivent donc être soigneusement audités et surveillés à la recherche d'implants cachés, si ce n'est déjà fait", ajoute Pierre Delcher.

Les produits Kaspersky détectent plusieurs modules IIS malveillants, dont SessionManager.

Pour en savoir plus sur le mode de fonctionnement et les cibles de SessionManager, visitez Securelist.com.

Pour protéger vos entreprises de ces menaces, les experts de Kaspersky vous recommandent également de :

● Vérifier régulièrement les modules IIS chargés sur les serveurs IIS exposés (notamment les serveurs Exchange), en exploitant les outils existants de la suite de serveurs IIS. Vérifiez ces modules dans le cadre de vos activités de traque de menaces chaque fois qu'une vulnérabilité majeure est annoncée sur les produits serveur Microsoft.

● Concentrer votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les connexions cybercriminelles. Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d'urgence.

● Utiliser des solutions telles que Kaspersky Endpoint Detection and Response et le service Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper l'attaque à un stade précoce, avant que les attaquants n'atteignent leurs objectifs.

● Utiliser une solution fiable de sécurisation des points d’accès, telle que Kaspersky Endpoint Security for Business (KESB) qui fonctionne par la prévention des exploitations, la détection des comportements, et grâce à un moteur de remédiation capable de faire reculer les actions malveillantes. KESB dispose également de mécanismes d'auto-défense qui peuvent empêcher sa suppression par les cybercriminels.

Kaspersky découvre une porte dérobée peu détectée, visant les gouvernements et les ONG du monde entier

Les experts de Kaspersky ont mis en lumière l’existence d’une porte dérobée SessionManager peu détectée jusqu’alors, qui opère en tant que module malveillant au sein d'Internet Information Services (IIS), un serveur web populaire édité par Microsoft
Kaspersky Logo