日前，卡巴斯基的安全團(tuán)隊(duì)發(fā)布了一份令人擔(dān)憂的報(bào)告。報(bào)告指出在 Exchange 服務(wù)器上發(fā)現(xiàn)了一個(gè)全新的、難以檢測(cè)的后門(mén)。這種名為 SessionManager 的惡意軟件于 2022 年初首次被發(fā)現(xiàn)。

Exchange 被全球多個(gè)國(guó)家的政府、醫(yī)療機(jī)構(gòu)、軍事組織、非政府組織等廣泛使用，因此該后門(mén)的破壞力可以說(shuō)是非常驚人的。

卡巴斯基安全團(tuán)隊(duì)表示 SessionManager 惡意軟件樣本目前并沒(méi)有被大多數(shù)主流在線文件掃描服務(wù)標(biāo)記。此外，在 90% 的目標(biāo)組織中，SessionManager 感染會(huì)持續(xù)存在。

SessionManager 背后的威脅參與者在過(guò)去 15 個(gè)月里一直在使用它?？ò退够鶓岩梢粋€(gè)名為 Gelsemium 的黑客組織對(duì)這些攻擊負(fù)責(zé)，因?yàn)楹诳湍Ｊ椒显摻M織的 MO。然而，分析師無(wú)法證實(shí) Gelsemium 是罪魁禍?zhǔn)住?/p>

該惡意軟件使用為微軟 Internet Information Services (IIS) Web 服務(wù)器軟件編寫(xiě)的強(qiáng)大的惡意本機(jī)代碼模塊。安裝后，它們將響應(yīng)特殊的 HTTP 請(qǐng)求以收集敏感信息。攻擊者還可以完全控制服務(wù)器，部署額外的黑客工具，并將它們用于其他惡意目的。

有趣的是，安裝 SessionManager 的過(guò)程依賴(lài)于利用一組統(tǒng)稱(chēng)為 ProxyLogon (CVE-2021-26855) 的漏洞。去年，微軟表示，超過(guò) 90% 的 Exchange 服務(wù)器已被修補(bǔ)或緩解，但這仍然使許多已經(jīng)受到攻擊的服務(wù)器面臨風(fēng)險(xiǎn)。

雖然要拔除 SessionManager 的過(guò)程非常復(fù)雜，不過(guò)卡巴斯基研究人員提供了一些關(guān)于保護(hù)您的組織免受 SessionManager 等威脅的建議。您還可以咨詢(xún) Securelist 以獲取有關(guān) SessionManager 如何操作和危害指標(biāo)的更多相關(guān)信息。