بدافزار کشف شده حداقل از مارس 2021 در اینترنت مورد استفاده قرار گرفته است که سرورهای مایکروسافت اکسچنج متعلق به طیف وسیعی از نهادها در سرتاسر جهان، از جمله 20 سازمان بزرگ را تا ژوئن ۲۰۲۲ آلوده کرده است.
این ابزار مخرب که SessionManager نام دارد، پس از بهرهبرداری از یکی از نقصهای ProxyLogon در سرورهای Exchange، به عنوان یک ماژول برای IIS ویندوز ظاهر میشود.
این اهداف شامل 24 سازمان غیردولتی متمایز، دولتی، نظامی و صنعتی در آفریقا، آمریکای جنوبی، آسیا، اروپا، روسیه و خاورمیانه هستند. در مجموع 34 سرور تا به امروز توسط یک نوع SessionManager در معرض خطر قرار گرفتهاند.
یک شرکت امنیت سایبری روسی با استناد به همپوشانی در نمونههای بدافزار مرتبط با دو گروه و قربانیان هدف، این حملات را به مهاجمی که به نام Gelsemium ردیابی میشود، نسبت داد.
SessionManager که گفته میشود یک "lightweight persistent initial access backdoor" است، دارای قابلیتهایی برای خواندن، نوشتن و حذف فایلهای دلخواه است.
این بدافزار بیشتر به عنوان یک کانال مخفی برای انجام شناسایی، جمعآوری رمزهای عبور درون حافظه و ارائه ابزارهای اضافی مانند Mimikatz و همچنین ابزار memory dump از Avast عمل میکند.
این ابزار مخرب که SessionManager نام دارد، پس از بهرهبرداری از یکی از نقصهای ProxyLogon در سرورهای Exchange، به عنوان یک ماژول برای IIS ویندوز ظاهر میشود.
این اهداف شامل 24 سازمان غیردولتی متمایز، دولتی، نظامی و صنعتی در آفریقا، آمریکای جنوبی، آسیا، اروپا، روسیه و خاورمیانه هستند. در مجموع 34 سرور تا به امروز توسط یک نوع SessionManager در معرض خطر قرار گرفتهاند.
یک شرکت امنیت سایبری روسی با استناد به همپوشانی در نمونههای بدافزار مرتبط با دو گروه و قربانیان هدف، این حملات را به مهاجمی که به نام Gelsemium ردیابی میشود، نسبت داد.
SessionManager که گفته میشود یک "lightweight persistent initial access backdoor" است، دارای قابلیتهایی برای خواندن، نوشتن و حذف فایلهای دلخواه است.
این بدافزار بیشتر به عنوان یک کانال مخفی برای انجام شناسایی، جمعآوری رمزهای عبور درون حافظه و ارائه ابزارهای اضافی مانند Mimikatz و همچنین ابزار memory dump از Avast عمل میکند.