Pintu belakang tersembunyi menargetkan server Microsoft Exchange di seluruh dunia

Halo kawan dekat TanyaTekno, bertemu kembali kita di artikel ini. Di artikel ini saya dapat mengkaji Pintu belakang tersembunyi menargetkan server Microsoft Exchange di seluruh dunia

kentang panas: Jika seseorang membutuhkan lebih banyak petunjuk bahwa keamanan server Microsoft Exchange masih terlihat seperti keju Swiss, itu disediakan oleh aktor terkenal bernama Gelsemium. Peneliti keamanan Kaspersky percaya bahwa kelompok tersebut telah menggunakan malware tersembunyi bernama SessionManager untuk menyerang infrastruktur server lembaga publik di seluruh dunia selama lebih dari setahun.

Pada hari Kamis, peneliti Kaspersky menerbitkan laporan yang mengganggu tentang pintu belakang baru yang sulit dideteksi yang menargetkan server Exchange yang digunakan oleh pemerintah, medis, militer, dan organisasi non-pemerintah di beberapa negara. Malware, yang dijuluki SessionManager, pertama kali ditemukan pada awal 2022.

Pada saat itu, beberapa sampel malware yang dicatat oleh analis tidak dilaporkan oleh banyak layanan pemeriksaan file online populer. Selanjutnya, infeksi SessionManager bertahan di lebih dari 90 persen organisasi yang ditargetkan.

Ini telah digunakan oleh aktor ancaman di belakang SessionManager selama 15 bulan terakhir. Kaspersky menduga bahwa kelompok peretas bernama Gelsemium bertanggung jawab atas serangan tersebut karena pola peretasan sesuai dengan perintah kelompok tersebut. Namun, para analis tidak dapat memastikan bahwa Gelsemium adalah biang keladinya.

Malware menggunakan unit kode asli berbahaya yang kuat yang ditulis untuk perangkat lunak server web Microsoft Internet Information Services (IIS). Setelah diinstal, mereka akan menanggapi permintaan HTTP khusus untuk mengumpulkan informasi sensitif. Penyerang juga dapat mengambil kendali penuh atas server, menyebarkan alat peretas tambahan, dan menggunakannya untuk tujuan jahat lainnya.

Menariknya, proses instalasi SessionManager bergantung pada eksploitasi sekelompok kerentanan yang secara kolektif disebut ProxyLogon (CVE-2021-26855). Tahun lalu, Microsoft mengatakan bahwa lebih dari 90 persen server Exchange-nya telah ditambal atau dimitigasi, tetapi itu masih membuat banyak server yang sudah disusupi dalam bahaya.

Proses disinfeksi cukup rumit, tetapi peneliti Kaspersky telah memberikan beberapa petunjuk tentang melindungi organisasi Anda dari ancaman seperti SessionManager. Anda juga dapat merujuk ke Daftar Aman untuk informasi yang lebih relevan tentang cara kerja SessionManager dan penunjuk level.

Demikianlah pembahasantentang Pintu belakang tersembunyi menargetkan server Microsoft Exchange di seluruh dunia

. Jangan Lupa untuk
share artikel ini ya sobat.

Rujukan Artikel