Microsoft Exchange: malware usato da marzo 2021 per attaccare enti governativi e militari

Uno dei software storici dell’azienda oggi guidata da Satya Nadella è Microsoft Exchange: fu presentato per la prima volta addirittura nel 1996 per consentire e facilitare la collaborazione tra vari utenti di un’organizzazione.
Un account di Exchange corrisponde a un account di posta elettronica aziendale o dell’istituto di istruzione.

I ricercatori di Kaspersky hanno scoperto un malware di alto livello, battezzato SessionManager, che è stato utilizzato per aggredire i sistemi Exchange di decine di enti governativi e militari in Europa, Medio Oriente, Asia e Africa.
Si tratta di un modulo capace di iniettare codice dannoso modificando il funzionamento del server Web Microsoft IIS (Internet Information Services).
È stato usato dai criminali informatici che lo hanno sviluppato almeno da marzo 2021, subito dopo l’inizio della massiccia ondata di attacchi ProxyLogon dello scorso anno.

Nella sua analisi tecnica Kaspersky spiega che SessionManager consente agli utenti malintenzionati di conservare un accesso persistente alle infrastrutture, resistente agli aggiornamenti e difficile da rilevare con i comuni strumenti per la sicurezza.

Il malware si comporta come una backdoor che consente agli aggressori di collegarsi da remoto con la possibilità di monitorare, modificare e distruggere i dati altrui.
Dopo aver guadagnato l’accesso, i criminali informatici che hanno sviluppato SessionManager possono accedere al contenuto delle email aziendali, installare altri tipi di malware e gestire clandestinamente i server compromessi.

Tra le varie caratteristiche, SessionManager permette di rilasciare e gestire file sui server infetti, eseguire comandi a distanza, connettersi agli endpoint all’interno della rete locale della vittima e manipolare il traffico di rete.

Alla fine di aprile 2022, mentre stava ancora indagando sui ben noti attacchi ProxyLogon con Microsoft che ha chiesto di aggiornare tutti i server Exchange per non correre rischi concreti, Kaspersky ha scoperto che alcuni campioni malware erano ancora presenti su 34 server di 24 organizzazioni di elevato profilo. Dopo la scoperta iniziale i campioni in questione non sono stati ancora contrassegnati come dannosi da “un popolare servizio di scansione di file online”. Facile ipotizzare quale sia.

“Nel caso dei server Exchange, non possiamo sottolinearlo abbastanza: le vulnerabilità dell’ultimo anno li hanno resi bersagli perfetti, qualunque sia l’intento dannoso, quindi dovrebbero essere attentamente controllati e monitorati al fine di verificare la presenza di eventuale codice nascosto“, spiega Kaspersky.