אותרו שרתי Exchange עם דלת אחורית לזודנות חדשות

מדובר אמנם בנוזקה שלפי אנשי קספרסקי זוהתה כבר בינואר השנה, אך ההערכה היא שבפועל היא כנראה ניצלה את הפגיעויות במערכת ההפעלה לשרתים של מיקרוסופט כדי לתקוף מכונות כבר ממרץ 2021

שימשו כדלת אחורית לזודנות חדשות. שרתי Microsoft Exchange. עיבוד ממוחשב כאילוסטרציה.

לפי דיווחים, נוזקה שעונה לשם SessionManager, וזוהתה בידי חוקרי האבטחה של קספרסקי, אותרה כזו שפתחה לאחרונה דלתות אחוריות בשרתים המבוססים על שרתי ה-Exchange של מיקרוסופט, השייכים לרמות ממשלתיות וצבאיות כמעט בכל רחבי העולם, להוציא אולי ברחבי אמריקה הצפונית והדרומית.

מדובר אמנם בנוזקה שלפי אנשי קספרסקי זוהתה כבר בינואר השנה, אך ההערכה היא שבפועל היא כנראה ניצלה את הפגיעויות במערכת ההפעלה לשרתים של מיקרוסופט כדי לתקוף מכונות כבר ממרץ 2021, כלומר כבר יותר מחמישה רבעונים.

היכולות של הנוזקה: ביצוע מרחוק של התקנים אליהם השיגה גישה אחורית, התחברות לנקודות קצה ברשת המקומית של הקורבנות וניהול התעבורה ברשת, התקנת קבצים וניהולם.

"הדלת האחורית שפתחה SessionManager מאפשרת לשמור על גישה מתמשכת, עמידה לעדכונים ודי חמקנית, לתשתית ה-IT של ארגון ממוקד. לאחר הכניסה למערכת, פושעי הסייבר יכולים לקבל גישה להודעות הדואר של החברה, לאפשר עוד מסלולי גישה זדונית על ידי התקנת סוגים אחרים של רושעות, או לנהל באופן חשאי שרתים שנפגעו כדי למנף אותם כתשתית זדונית", סיפרו אנשי קספרסקי בסוף השבוע.

לטענת מהנדסי האבטחה בחברה, חלק גדול מהשרתים שגילתה עדיין סובלים מהבעיה, ושכנראה שהאחראית להפצתם היא קבוצה בשם Gelsemium, שהפיצה את הנוזקה כחלק מפעולת ריגול עסקי עולמית, וזו קבוצה שידועה כאחת שתוקפת מוסדות ממשלתיים, אוניברסיטאות במזרח אסיה ובמזרח התיכון וכדומה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר.

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים