2024-03-19 12:25 (화)
세션 매니저 백도어, 전 세계 마이크로소프트 IIS 서버에 대한 공격에 사용돼
상태바
세션 매니저 백도어, 전 세계 마이크로소프트 IIS 서버에 대한 공격에 사용돼
  • hsk 기자
  • 승인 2022.07.02 17:23
이 기사를 공유합니다

카스퍼스키 랩 연구원들이 2021년 3월부터 마이크로소프트 IIS 서버를 겨냥한 공격에 악용된 새로운 백도어 ‘Session Manager’를 발견했다.

시큐리티어페어스 보도에 따르면, 연구원들이 2022년 초에 IIS 백도어 중 하나인 Session Manager를 조사했다. 2022년 4월 말, 우리가 식별한 대부분의 샘플은 여전히 온라인 파일 검색 서비스에서 악성으로 표시되지 않고 있었고, Session Manager는 20개 이상 조직에 유포되어 있었다고 보도했다. 

또한 “IIS 모듈을 백도어로 드롭할 경우 위협 행위자가 타깃 조직의 IT 인프라에 대한 지속적인 업데이트를 방지하고 은밀한 액세스를 유지할 수 있다. 이메일을 수집하거나, 추가 악성 액세스를 업데이트하거나, 악성 인프라로 활용할 수 있는 손상된 서버를 관리하기 위한 것이다.”라고 덧붙였다.

Session Manager 백도어는 아프리카, 남미, 아시아, 유럽, 러시아, 중동의 NGO, 정부, 군사 및 산업 조직에 대한 공격에 사용되었다. 연구원들은 유사한 피해자와 OwlProxy 변종 사용을 통해 GELSEMIUM 위협 행위자로 분류했다.

Session Manager는 C++로 작성된, 일부 IIS 응용 프로그램이 로드하는 악성 네이티브 코드 IIS 모듈로, 서버에 지속적으로 전송되는 합법적인 HTTP 요청을 처리한다. 

공격자로부터 조작된 HTTP 요청을 받으면 악성코드는 요청에 숨겨진 명령을 실행하고 다른 요청과 마찬가지로 처리하도록 서버에 전달한다. 전문가들은 이러한 악성 모듈은 일반적인 모니터링 활동으로는 탐지가 매우 어렵다고 말한다.

Session Manager는 다음 기능을 지원한다.

- 손상된 서버에서 임의 파일 읽기, 쓰기 및 삭제

- 손상된 서버에서 임의 이진 파일 실행(원격 명령 실행)

- 손상된 서버에서 연결할 수 있는 임의의 네트워크 엔드포인트에 연결 및 읽기, 쓰기

백도어는 운영자가 타깃 환경에서 정찰을 수행하고 메모리 내 암호를 수집하며 추가 악성 페이로드를 유포할 수 있는 배포 후 도구 역할을 할 수도 있다. 연구원들이 발표한 보고서에는 IoC도 포함되어 있다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★