Kaspersky telah mengungkapkan “pintu belakang yang terdeteksi dengan buruk” yang disebut SessionManager yang telah digunakan terhadap organisasi di Afrika, Asia Selatan, Eropa, dan Timur Tengah setidaknya sejak Maret 2021.
“Pintu belakang SessionManager memungkinkan pelaku ancaman untuk menjaga akses yang gigih, tahan pembaruan, dan agak tersembunyi ke infrastruktur TI dari organisasi yang ditargetkan,” kata Kaspersky(Buka di jendela baru). “Setelah masuk ke sistem korban, penjahat dunia maya di balik pintu belakang dapat memperoleh akses ke email perusahaan, memperbarui akses berbahaya lebih lanjut dengan menginstal jenis malware lain, atau secara sembunyi-sembunyi mengelola server yang disusupi, yang dapat dimanfaatkan sebagai infrastruktur berbahaya.”
SessionManager sendiri adalah modul untuk alat web server Internet Information Services(Opens in a new window) (IIS) dari Microsoft. Kaspersky mengatakan (Buka di jendela baru) pintu belakang adalah modul IIS yang mengawasi “permintaan HTTP yang tampaknya sah tetapi dibuat secara khusus dari operator mereka, memicu tindakan berdasarkan instruksi tersembunyi operator jika ada, kemudian secara transparan meneruskan permintaan ke server untuk diproses seperti permintaan lainnya.” Semua itu kabarnya membuat SessionManager cukup sulit untuk dideteksi.
Kaspersky mencatat bahwa SessionManager tampaknya tidak melakukan sesuatu yang berbahaya—inti dari server web adalah untuk mengawasi permintaan HTTP. Siapa pun yang tidak mengharapkan server menerima permintaan tersebut mungkin tidak menjalankan IIS. (Setidaknya tidak dalam konfigurasi yang rentan terhadap serangan semacam itu.) Perusahaan mengatakan bahwa file SessionManager juga “sering ditempatkan di lokasi yang diabaikan yang berisi banyak file sah lainnya” untuk membuat deteksi menjadi lebih sulit.
“Secara keseluruhan, 34 server dari 24 organisasi dari Eropa, Timur Tengah, Asia Selatan, dan Afrika telah disusupi oleh SessionManager,” kata Kaspersky. “Aktor ancaman yang mengoperasikan SessionManager menunjukkan minat khusus pada LSM dan entitas pemerintah, tetapi organisasi medis, perusahaan minyak, perusahaan transportasi, antara lain, telah menjadi sasaran juga.”
Berbagai faktor, termasuk percobaan penggunaan malware yang disebut OwlProxy dan organisasi yang ditargetkan dengan pintu belakang SessionManager, telah membuat Kaspersky mengaitkan setidaknya beberapa aktivitas ini ke grup yang disebut Gelsemium. Lab52 telah menerbitkan laporan (Buka di jendela baru) di OwlProxy; ESET telah menerbitkan whitepaper(Buka di jendela baru) yang menjelaskan aktivitas Gelsemium sebelumnya. Kaspersky mencatat bahwa Gelsemium mungkin bukan satu-satunya grup yang menggunakan SessionManager, jadi atribusi ini tidak pasti.
Sumber: PCMag
