Orta Doğu, Türkiye ve Afrika’yı hedef alan yeni bir arka kapı
Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, önceden bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O zamandan beri, şirketin uzmanları siber suç faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir arka kapı yerleştirmenin, daha önce Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın zamanda yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager adlı yeni bir arka kapı modülüyle karşılaştı. SessionManager arka kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye dayanıklı ve oldukça gizli erişim sağlamasına yol açıyor. Kurbanın sistemine bir kez girdikten sonra arka kapıyı kullanan siber suçlular, şirket e-postalarına erişebiliyor, diğer kötü amaçlı yazılımları yükleyerek daha fazla kötü amaçlı erişimi güncelleyebiliyor veya kötü amaçlı altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.
SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. İlk olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen bazı arka kapı örnekleri, en popüler çevrimiçi dosya tarama hizmetlerinde hala kötü amaçlı olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların %91’inden fazlasında konuşlandırılmış durumda.
Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Ancak bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de hedef alıyor. Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, kötü niyetli IIS modülünün, casusluk operasyonlarının bir parçası olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.