SessionManager, un backdoor que ataca a gobiernos y ONG de todo el mundo

  • Actualidad

espionaje backdoor

Configurado como un módulo malicioso dentro del servidor web IIS de Microsoft, SessionManager permite desde la recopilación de emails hasta el control completo de la infraestructura. La mayoría de las organizaciones objetivo todavía están comprometidas hasta la fecha.

Los expertos de Kaspersky han sacado a la luz una puerta trasera bautizada como SessionManager mal detectada, que se configuró como un módulo malicioso dentro del servidor web Internet Information Services (IIS) de Microsoft, y que una vez propagado, permite una amplia gama de actividades maliciosas. El backdoor ha golpeado a instituciones gubernamentales y ONG en África, el sur de Asia, Europa y Medio Oriente, y la mayoría de las organizaciones objetivo todavía están comprometidas hasta la fecha.

SessionManager permite a los actores de amenazas mantener un acceso persistente, resistente a las actualizaciones y bastante sigiloso en la infraestructura de TI de una organización objetivo. Una vez que se deja caer en el sistema de la víctima, los ciberdelincuentes detrás de la puerta trasera pueden tener acceso a los correos electrónicos de la empresa, actualizar más acceso malicioso mediante la instalación de otros tipos de malware o administrar clandestinamente servidores comprometidos, que pueden aprovecharse como infraestructura maliciosa.

Una característica distintiva de SessionManager es su baja tasa de detección. Descubiertas por primera vez por los investigadores de Kaspersky a principios de 2022, algunas de las muestras aún no se marcaron como maliciosas en los servicios de escaneo de archivos online más populares. Hasta la fecha, SessionManager todavía está implementado en más del 90% de las organizaciones objetivo según un escaneo de Internet realizado por investigadores de Kaspersky.

En total, 34 servidores de 24 organizaciones de Europa, Oriente Medio, Asia meridional y África se han visto comprometidos por SessionManager. El actor de amenazas detrás de SessionManager muestra un interés especial en las ONG y las entidades gubernamentales, pero las organizaciones médicas, las compañías petroleras, las compañías de transporte, entre otras, también han sido atacadas.