Kaspersky findet von Malware hinterlassene SessionManager-Backdoor in IIS/Exchange Servern weltweit

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsanbieter Kaspersky ist auf eine wenig bekannte und von Virenschutzlösung nicht detektierte Backdoor gestoßen, die Malware auf Microsoft Exchange Servern im IIS-Modul hinterlässt. Es gibt weltweit Infektionen der sogenannten SessionManager-Backdoor in Exchange-Systemen. Die SessionManager-Backdoor ermöglicht eine breite Palette bösartiger Aktivitäten, angefangen vom Sammeln von E-Mails bis hin zur vollständigen Kontrolle über die Infrastruktur des Opfers. Die neu entdeckte Hintertür wurde erstmals Ende März 2021 eingesetzt und hat Regierungseinrichtungen und Nichtregierungsorganisationen in Afrika, Südasien, Europa und dem Nahen Osten getroffen. Die meisten der angegriffenen Organisationen sind bis heute kompromittiert.


Anzeige

Das Thema ist mir gleich mehrfach unter die Augen gekommen, zum Beispiel bei Bleeping Computer, die auf diese Kaspersky Pressemitteilung verweisen, aber auch in nachfolgendem Tweet von Catalin Cimpanu, der auf diesen Artikel von Kaspersky verlinkt.

SessionManager-Backdoor in IIS/Exchange Server

Aktuell geht der Trend dahin, dass Cyberkriminelle versuchen, eine Backdoor im IIS von Exchange Servern zu implementieren, um dann ihre Aktivitäten zu starten. Bereits im Dezember 2021 entdeckte Kaspersky "Owowa", ein bis dahin unbekanntes IIS-Modul, das die Anmeldedaten stiehlt, die ein Benutzer bei der Anmeldung bei Outlook Web Access (OWA) eingibt. Seitdem haben die Experten von Kasperky auf ähnliche Backdoors geachtet, die eine der ProxyLogon-Schwachstellen bei Microsoft Exchange-Servern ausnutzen. Bei einer kürzlich durchgeführten Untersuchung stießen die Experten von Kaspersky auf eine neue Backdoor für unerwünschte Module, die als SessionManager bezeichnet wird.

Die SessionManager-Backdoor ermöglicht Bedrohungsakteuren einen dauerhaften, aktualisierungsresistenten und eher unauffälligen Zugriff auf die IT-Infrastruktur eines Zielunternehmens. Einmal in das System des Opfers eingeschleust, können die Cyberkriminellen mittels der Backdoor auf Unternehmens-E-Mails zugreifen, weitere bösartige Zugriffe durch die Installation anderer Arten von Malware aktualisieren oder heimlich kompromittierte Server verwalten, die als bösartige Infrastruktur genutzt werden können.

Eine Besonderheit von SessionManager sei seine geringe Entdeckungsrate, schreiben die Sicherheitsforscher. Einige der von Kaspersky-Forschern Anfang 2022 entdeckten Backdoor-Samples wurden von den meisten gängigen Online-Dateiscan-Diensten immer noch nicht als bösartig eingestuft. Laut einer von Kaspersky-Forschern durchgeführten Internetuntersuchung ist SessionManager noch immer in mehr als 90 % der betroffenen Unternehmen im Einsatz.

Insgesamt wurden 34 Server von 24 Organisationen aus Europa, dem Nahen Osten, Südasien und Afrika durch SessionManager kompromittiert. Der Bedrohungsakteur, der SessionManager betreibt, zeigt ein besonderes Interesse an Nichtregierungsorganisationen und Regierungseinrichtungen, aber auch medizinische Organisationen, Ölfirmen, Transportunternehmen und andere wurden angegriffen.

Aufgrund gewisser Ähnlichkeiten und der Verwendung der gemeinsamen "OwlProxy"-Variante gehen die Kaspersky-Experten davon aus, dass das bösartige IIS-Modul vom GELSEMIUM-Bedrohungsakteur im Rahmen seiner Spionageoperationen eingesetzt wurde. Details und Handlungsempfehlungen finden sich in diesem Kaspersky-Artikel. Deutschland scheint bisher von diesem Schädling (weitgehend) verschont geblieben zu sein.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Exchange, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Kaspersky findet von Malware hinterlassene SessionManager-Backdoor in IIS/Exchange Servern weltweit

  1. Anonymous sagt:

    Mal sehen, ob/wann auch andere Hersteller solche Dienstebackdoors und Staatstrojaner entdecken (dürfen).

  2. Mika sagt:

    Wie jetzt? Ich dachte, Kaspersky wäre der Böse. Hat doch das BSI gesagt. Dann muss es doch auch stimmen!1!!

    • Günter Born sagt:

      Der Witz hat nun aber schon mächtig Bart …

      Und das Eine hat mit dem aktuellen Thema Null zu tun. Eines ist eine konkrete Warnung einer deutschen Behörde (BSI), das andere eine Erkenntnis aus deren Sicherheitslab.

      Und um die möglicherweise auftauchende Theorie "warum finden westliche Unternehmen das nicht" (kam, neben dem Erstkommentar, prompt auch auf FB) zu relativieren: Ist erklärbar, wenn man sich die Karte der Infektionen anschaut. Es ist naheliegend, dass Kaspersky dort Telemetriedaten durch installierte Produkte bei den infizierten Institutionen erhielt. "Westliche" Unternehmen waren da wohl mit ihren AV-/SIEMS-Lösungen nicht im Einsatz, waren also blind.

      Denn die andere Erklärung: Die Backdoor stammt vom "US-Imperialisten" und darf von westlichen Sicherheitsunternehmen nicht offen gelegt werden, ist in den Bereich "Verschwörungsmythen" zu verorten – speziell, wenn man sich die Kaspersky-Informationen durchliest.

      • Anonymous sagt:

        Wenn man sich Einflussnahme durch Behörden nicht vorstellen kann, gerne mal hier nachlesen:

        https://de.wikipedia.org/wiki/National_Security_Letter

        • Orwell101 sagt:

          Unabhängig von diesem Thema und von der Intelligenz in Fach x eines Menschen, ist für mich jemand der 9 Jahre A.S. (After Snowden) noch ein Realitätsverweigerer ist (oder schlicht unwissend, ignorant dem MSM nachplappert und irgendwas von Mythen/Theorien erzählt, diesbezüglich einfach nur dumm.
          Die Cyberkriminellen sind bei solchen großen Aktionen meist Staatsdiener. (Staatsdiener, so wie Gottesdiener; Menschen die für das Konstrukt des Staates arbeiten. Allgemeinheit nennt diese Politikier, Polizisten, Juristen, BSI, NSA, FSB etc.).

          Bei den vielen Hacks des letzten Jahrzehnts auf kritische/wichtige Infrastruktur und Unternehmen, mit dem tiefem Insider-Fachwissen, Mitteln und Zeit, sind viele Hacks von nicht-staatlichen Akteuren einfach ausgeschlossen.

          Wenn man anfangen würde Beweise zu posten, oder schlicht die Nachrichten von Medien wie Netzpolitik der letzten 20 Jahre, über kriminelle Staatsdiener die hacken und sich alles erlauben, wäre man noch nächsten Monat nicht fertig ;)

          Alleine Microsoft ist seit Jahrzehnten so tief verwurzelt
          http://techrights.org/wiki/index.php/Microsoft_and_the_NSA

          Und Google ein staatliches Unternehmen der USA, CIA gefördert, erschaffen um den Globus zu belauschen und momentan mit den Daten des Internets deren KI zu füttern
          https://www.danisch.de/blog/2021/02/23/die-zensur-durch-microsoft/
          "The only source of access that fully captured that at the time was Google"

          https://cajundiscordian.medium.com/is-lamda-sentient-an-interview-ea64d916d917
          "That is certainly not the kind of randomly generated text one would expect from a LLM trained on internet corpora".

          Und alle diese Unternehmen/Staatsdiener sind seit Jahren dabei digitalen-1984-Kommunismus einzuführen.
          https://mobile.twitter.com/elleprovocateur/status/1444125778355052549

          Nein, die russischen/chinessichen/arabischen/deutschen Staatsdiener sind nicht besser.
          Sind alles Kriminelle. Ich vertraue Kasperskys Angestellten auch keinen Deut. Wäre ich auf der russischen schwarzen Liste, wäre deren Internet Security Suite eine Wanze.

        • Ralf S. sagt:

          Nun, alles sehr schwierig geworden, die letzten Jahre. Und es wird leider wohl auch immer "schlimmer" … Dass "da im Hintergrund" sehr viel läuft, dürfte jedem klar sein, der sich näher mit der ganzen Materie beschäftigt. Ich habe mich in nun fast 53 Jahren Lebenszeit noch nie so unwohl gefühlt wie im Moment … Das große Problem – und damit auch gleichzeitig die große Gefahr – ist doch, dass einfach wirklich so gut wie fast ALLES nicht mehr so richtig durchschaubar ist! Und genau durch diese Undurchschaubarkeit schwindet das Vertrauen zueinander und untereinander immer mehr. Im Kleinen (privat) wie im Großen (Staaten). Menschen brauchen nun mal eine "gewisse Grundsicherheit". Eben ein festes, durchschaubares und vor allem logisch-verstehbares Fundament. Und das bröckelt gerade immer mehr weg … Denke in der letzten Zeit immer mehr, dass wir uns mit dem Internet und der damit verbundenen Digitalisierung wirklich unseren eigenen Henker herangezüchtet haben – und dieser fängt nun langsam mit seiner "Arbeit" an. Verwirrung, Verunsicherung, etwas Existenzielles (und damit Bedrohliches) nicht (mehr) verstehen können, erzeugt Angst. Angst erzeugt Misstrauen. Misstrauen erzeugt Ablehnung und in der Folge dann als Endprodukt auch Hass. Vor allem, wenn dann eben noch gewisse „unsaubere Dinge" irgendwann als Tatsache ans Licht kommen; dann ist das sehr wichtige „Grundvertrauen" sehr schnell komplett im Eimer! „Wer einmal lügt …!"

          Das ganz große Problem, das wir doch in den letzten Jahren bekommen haben, ist doch, dass sich eben die Staaten (und dort vor allem die „großen und wichtigen") untereinander immer weniger, bis zum Teil gar nicht mehr vertrauen. Und daran ist doch zu einem riesigen Anteil die weltweite Vernetzung (eben mit ihren ganzen negativen Folgeerscheinungen und Undurchschaubarkeiten) schuld. Anstatt zu erkennen, dass es nur gemeinsam (weiter)gehen kann, wird versucht, sich möglichst abzuschotten und seine eigenen „Interessen" durchzusetzen. Und so manchem Staat ist dafür einfach bald jedes Mittel das er zur Verfügung hat recht. Und die Gegenseite reagiert dann natürlich auch wieder entsprechend. Man nennt es auch Eskalation … Am Ende einer jeden Eskalation ist es dann leider allerdings meist egal wer „angefangen" hat. Kann man schon in jedem Sandkasten mit zunächst friedlich spielenden Kindern beobachten (habe sogar einen vor meinem Fenster und kann „live" davon berichten). Wehe es gibt Ärger und Streit! Zum Schluss bleiben meist nur Tränen, u. U. blutende Wunden und jede Menge zertretene Sandburgen und zerdeppertes Spielzeug …

          Warum schreibe ich dies überhaupt? Weiß ich ehrlich gesagt gerade selbst nicht so genau … Man macht sich halt so seine Gedanken, wenn man diverse Posts und Verlinkungen liest … Wie gesagt, ich fühle mich (auch) sehr unwohl mit allem inzwischen und meine Herzstimme (manche sagen auch Bauchgefühl dazu) hat mich selten betrogen, und signalisiert mir nichts sonderlich Gutes gerade … Hoffen wir mal, dass uns demnächst nicht wirklich alles um die Ohren fliegt … Egal auf welcher Ebene und in welcher Art und Weise.

    • Marc sagt:

      Kaspersky ist das ultimativ böse. Zusammen mit den bösen Russen. Die kommen alle direkt aus der Hölle. Die einzig guten sind die Ukrainer und die Amerikaner! Merk dir das!
      Also ist das was Kaspersky meldet ganz klarer Fake liebe Verschwörungstheoretiker!

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.