SessionManager バックドアの発見:Microsoft IIS サーバへの攻撃で採用

SessionManager Backdoor employed in attacks on Microsoft IIS servers worldwide

2022/07/01 SecurityAffairs — Kaspersky Lab の研究者たちは、2021年3月以降に発生した Microsoft IIS Servers 標的の攻撃で採用された、新しい SessionManager バックドアを発見した。Kaspersky が公開した分析結果は、「2022年初頭に、私達は IIS バックドアの1つである SessionManager を調査した。そして、2022年4月下旬の時点で、私たちが特定したサンプルの大半に対して、一般的なオンライン・ファイルスキャン・サービスは悪意のフラグを立てていない状況だった。また、SessionManager は、依然として 20以上の組織に展開されていた。IIS モジュールをバックドアとして導入する脅威アクターは、標的組織の IT インフラへの永続的かつ耐更新性のある、スティルス性のあるアクセスを維持できる」と述べている。

SessionManager バックドアは、アフリカ/アジア/ヨーロッパ/ロシア/南米/中東の政府/軍事/産業/NGO 組織に対する攻撃で採用された。研究者たちは、被害者が類似しており、共通の OwlProxy の亜種が使用されていることから、この攻撃は GELSEMIUM 脅威アクターによるものだと分析している。

SessionManager は、C++で記述された悪意のネイティブコードの IIS モジュールであり、一部の IIS アプリケーションによりロードされ、サーバに対して継続的に送信される正当な HTTP リクエストを処理する。

この悪意のコードは、脅威から特別に細工された HTTP リクエストを受け取ると、リクエストに隠された命令を実行し、他のリクエストと同様の処理するためにサーバに受け渡す。


専門家たちは、このような悪意のあるモジュールは、一般的な監視活動では検出が非常に困難であると指摘している。

SessionManager は、以下の機能をサポートしている。

・侵害したサーバ上の任意のファイルの読取/書込/削除。
・侵害したサーバからのリモートコマンドの実行。
・侵害したサーバが到達できる任意のネットワーク・エンドポイントへの接続を確立し、その接続における読取/書込みの実施。

また、このバックドアはオペレータに対して、ターゲット環境に対する偵察/メモリ内のパスワード収集/追加のペイロード展開実施するための、セカンダリ・ステージのためのツールとして機能する可能性もある。

このレポートには、SessionManager に関するIndicators of Compromise (IoC) も含んでいる。

このところ、バックドアというと、5月12日の「BPFdoor バックドアの脅威:ファイアウォールをすり抜ける Linux マルウェアの詳細」や、6月14日の「Syslogk という Linux Rootkit:リモートから Magic Packet を介してバックドアを制御する」などのように、Linux 系のトピックが多く見受けられました。そして、新たに発見された SessionManager バックドアですが、これは Microsoft IIS Servers を標的とする攻撃で採用されているとのことです。Linux 系も Windows 系も、最近のバックドアに対して指摘されるのは、そのスティルス性の高さです。その点に、要注意ですね。

%d bloggers like this: