日前，卡巴斯基的安全團隊發(fā)布了一份令人擔憂的報告。報告指出在 Exchange 服務(wù)器上發(fā)現(xiàn)了一個全新的、難以檢測的后門。這種名為 SessionManager 的惡意軟件于 2022 年初首次被發(fā)現(xiàn)。

Exchange 被全球多個國家的政府、醫(yī)療機構(gòu)、軍事組織、非政府組織等廣泛使用，因此該后門的破壞力可以說是非常驚人的。

卡巴斯基安全團隊表示 SessionManager 惡意軟件樣本目前并沒有被大多數(shù)主流在線文件掃描服務(wù)標記。此外，在 90% 的目標組織中，SessionManager 感染會持續(xù)存在。

SessionManager 背后的威脅參與者在過去 15 個月里一直在使用它?？ò退够鶓岩梢粋€名為 Gelsemium 的黑客組織對這些攻擊負責，因為黑客模式符合該組織的 MO。然而，分析師無法證實 Gelsemium 是罪魁禍首。

該惡意軟件使用為微軟 Internet Information Services (IIS) Web 服務(wù)器軟件編寫的強大的惡意本機代碼模塊。安裝后，它們將響應(yīng)特殊的 HTTP 請求以收集敏感信息。攻擊者還可以完全控制服務(wù)器，部署額外的黑客工具，并將它們用于其他惡意目的。

有趣的是，安裝 SessionManager 的過程依賴于利用一組統(tǒng)稱為 ProxyLogon (CVE-2021-26855) 的漏洞。去年，微軟表示，超過 90% 的 Exchange 服務(wù)器已被修補或緩解，但這仍然使許多已經(jīng)受到攻擊的服務(wù)器面臨風險。

雖然要拔除 SessionManager 的過程非常復(fù)雜，不過卡巴斯基研究人員提供了一些關(guān)于保護您的組織免受 SessionManager 等威脅的建議。您還可以咨詢 Securelist 以獲取有關(guān) SessionManager 如何操作和危害指標的更多相關(guān)信息。