{"id":269992,"date":"2022-06-30T23:32:49","date_gmt":"2022-06-30T21:32:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=269992"},"modified":"2022-06-30T23:49:08","modified_gmt":"2022-06-30T21:49:08","slug":"kaspersky-findet-von-malware-hinterlassene-sessionmanager-backdoor-in-iis-exchange-servern-weltweit","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/30\/kaspersky-findet-von-malware-hinterlassene-sessionmanager-backdoor-in-iis-exchange-servern-weltweit\/","title":{"rendered":"Kaspersky findet von Malware hinterlassene SessionManager-Backdoor in IIS\/Exchange Servern weltweit"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2022\/06\/30\/kaspersky-findet-von-malware-hinterlassene-sessionmanager-backdoor-in-iis-exchange-servern-weltweit\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Sicherheitsanbieter Kaspersky ist auf eine wenig bekannte und von Virenschutzl\u00f6sung nicht detektierte Backdoor gesto\u00dfen, die Malware auf Microsoft Exchange Servern im IIS-Modul hinterl\u00e4sst. Es gibt weltweit Infektionen der sogenannten SessionManager-Backdoor in Exchange-Systemen. Die SessionManager-Backdoor erm\u00f6glicht eine breite Palette b\u00f6sartiger Aktivit\u00e4ten, angefangen vom Sammeln von E-Mails bis hin zur vollst\u00e4ndigen Kontrolle \u00fcber die Infrastruktur des Opfers. Die neu entdeckte Hintert\u00fcr wurde erstmals Ende M\u00e4rz 2021 eingesetzt und hat Regierungseinrichtungen und Nichtregierungsorganisationen in Afrika, S\u00fcdasien, Europa und dem Nahen Osten getroffen. Die meisten der angegriffenen Organisationen sind bis heute kompromittiert.<\/p>\n<p><!--more--><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/f3c6416398004902962c3d2250da2eec\" alt=\"\" width=\"1\" height=\"1\" \/>Das Thema ist mir gleich mehrfach unter die Augen gekommen, zum Beispiel bei <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-exchange-servers-worldwide-backdoored-with-new-malware\/\" target=\"_blank\" rel=\"noopener\">Bleeping Computer<\/a>, die auf <a href=\"https:\/\/www.kaspersky.com\/about\/press-releases\/2022_kaspersky-discovers-poorly-detected-backdoor-targeting-governments-and-ngos-around-the-globe\" target=\"_blank\" rel=\"noopener\">diese Kaspersky Pressemitteilung<\/a> verweisen, aber auch in nachfolgendem <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1542603721695236096\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> von Catalin Cimpanu, der auf <a href=\"https:\/\/securelist.com\/the-sessionmanager-iis-backdoor\/106868\/\" target=\"_blank\" rel=\"noopener\">diesen Artikel<\/a> von Kaspersky verlinkt.<\/p>\n<p><a href=\"https:\/\/twitter.com\/campuscodi\/status\/1542603721695236096\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"SessionManager-Backdoor in IIS\/Exchange Server\" src=\"https:\/\/i.imgur.com\/B076Dm3.png\" alt=\"SessionManager-Backdoor in IIS\/Exchange Server\" \/><\/a><\/p>\n<p>Aktuell geht der Trend dahin, dass Cyberkriminelle versuchen, eine Backdoor im IIS von Exchange Servern zu implementieren, um dann ihre Aktivit\u00e4ten zu starten. Bereits im Dezember 2021 entdeckte Kaspersky \"Owowa\", ein bis dahin unbekanntes IIS-Modul, das die Anmeldedaten stiehlt, die ein Benutzer bei der Anmeldung bei Outlook Web Access (OWA) eingibt. Seitdem haben die Experten von Kasperky auf \u00e4hnliche Backdoors geachtet, die eine der ProxyLogon-Schwachstellen bei Microsoft Exchange-Servern ausnutzen. Bei einer k\u00fcrzlich durchgef\u00fchrten Untersuchung stie\u00dfen die Experten von Kaspersky auf eine neue Backdoor f\u00fcr unerw\u00fcnschte Module, die als SessionManager bezeichnet wird.<\/p>\n<p>Die SessionManager-Backdoor erm\u00f6glicht Bedrohungsakteuren einen dauerhaften, aktualisierungsresistenten und eher unauff\u00e4lligen Zugriff auf die IT-Infrastruktur eines Zielunternehmens. Einmal in das System des Opfers eingeschleust, k\u00f6nnen die Cyberkriminellen mittels der Backdoor auf Unternehmens-E-Mails zugreifen, weitere b\u00f6sartige Zugriffe durch die Installation anderer Arten von Malware aktualisieren oder heimlich kompromittierte Server verwalten, die als b\u00f6sartige Infrastruktur genutzt werden k\u00f6nnen.<\/p>\n<p>Eine Besonderheit von SessionManager sei seine geringe Entdeckungsrate, schreiben die Sicherheitsforscher. Einige der von Kaspersky-Forschern Anfang 2022 entdeckten Backdoor-Samples wurden von den meisten g\u00e4ngigen Online-Dateiscan-Diensten immer noch nicht als b\u00f6sartig eingestuft. Laut einer von Kaspersky-Forschern durchgef\u00fchrten Internetuntersuchung ist SessionManager noch immer in mehr als 90 % der betroffenen Unternehmen im Einsatz.<\/p>\n<p>Insgesamt wurden 34 Server von 24 Organisationen aus Europa, dem Nahen Osten, S\u00fcdasien und Afrika durch SessionManager kompromittiert. Der Bedrohungsakteur, der SessionManager betreibt, zeigt ein besonderes Interesse an Nichtregierungsorganisationen und Regierungseinrichtungen, aber auch medizinische Organisationen, \u00d6lfirmen, Transportunternehmen und andere wurden angegriffen.<\/p>\n<p>Aufgrund gewisser \u00c4hnlichkeiten und der Verwendung der gemeinsamen \"OwlProxy\"-Variante gehen die Kaspersky-Experten davon aus, dass das b\u00f6sartige IIS-Modul vom GELSEMIUM-Bedrohungsakteur im Rahmen seiner Spionageoperationen eingesetzt wurde. Details und Handlungsempfehlungen finden sich in <a href=\"https:\/\/securelist.com\/the-sessionmanager-iis-backdoor\/106868\/\" target=\"_blank\" rel=\"noopener\">diesem Kaspersky-Artikel<\/a>. Deutschland scheint bisher von diesem Sch\u00e4dling (weitgehend) verschont geblieben zu sein.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Sicherheitsanbieter Kaspersky ist auf eine wenig bekannte und von Virenschutzl\u00f6sung nicht detektierte Backdoor gesto\u00dfen, die Malware auf Microsoft Exchange Servern im IIS-Modul hinterl\u00e4sst. Es gibt weltweit Infektionen der sogenannten SessionManager-Backdoor in Exchange-Systemen. Die SessionManager-Backdoor erm\u00f6glicht eine breite Palette b\u00f6sartiger Aktivit\u00e4ten, &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/06\/30\/kaspersky-findet-von-malware-hinterlassene-sessionmanager-backdoor-in-iis-exchange-servern-weltweit\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5359,4328],"class_list":["post-269992","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-exchange","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269992","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=269992"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/269992\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=269992"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=269992"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=269992"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}