November 24, 2024

เซิร์ฟเวอร์ Microsoft Exchange ทั่วโลกกำลังถูกเจาะประตูหลังด้วยมัลแวร์ตัวใหม่

เหล่าผู้โจมตีกำลังใช้มัลแวร์ที่ถูกค้นพบล่าสุดในการเจาะประตูหลังบนเซิร์ฟเวอร์ Microsoft Exchange ของหน่วยงานภาครัฐ หรือแม้แต่หน่วยงานทางทหารหลายแห่งทั้งในภูมิภาคยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา

มัลแวร์ตัวนี้ถูกตั้งชื่อว่า SessionManager โดยนักวิจัยด้านความปลอดภัยของ Kaspersky ที่ค้นพบความเคลื่อนไหวของมัลแวร์นี้ครั้งแรกเมื่อช่วงต้นปี ในรูปของโมดูลที่ใช้โค้ดแบบนาทีฟที่เป็นอันตรายสำหรับใช้กับซอฟต์แวร์เว็บเซิร์ฟเวอร์ Internet Information Services (IIS) ของไมโครซอฟท์

ก่อนหน้านี้มีการใช้งานมัลแวร์นี้ในวงกว้างโดยไม่ถูกตรวจจับอย่างน้อยตั้งแต่มีนาคม 2021 ตั้งแต่หลังขบวนการโจมตี ProxyLogon ครั้งใหญ่ ซึ่งทาง Kaspersky ออกมาเผยเมื่อวันพฤหัสว่า “SessionManager ช่วยให้ผู้โจมตีฝังรากลึกบนระบบเหยื่อได้”

“ไม่อ่อนไหวต่อการถูกอัพเดทระบบ ช่วยให้เข้าถึงระบบต่างๆ ของเหยื่อได้โดยไม่ถูกตรวจจับ โดยเมื่อเข้าถึงระบบของเหยื่อแล้ว อาชญากรไซเบอร์ที่อยู่เบื้องหลังจะสามารถเข้าถึงอีเมลขององค์กร และเพิ่มการเข้าถึงได้อีกด้วยการติดตั้งมัลแวร์ตัวอื่นๆ หรือจัดการเซิร์ฟเวอร์ที่ควบคุมไว้ได้แบบเงียบๆ”

อ่านเพิ่มเติมที่นี่ – Bleepingcomputer