几天前,卡巴斯基的安全团队发布了一份令人担忧的报告。报告指出在Exchange服务器上发现了一个全新的、难以检测的后门。该恶意软件名为SessionManager,于2022年初首次被发现。Exchange被全球多个国家的政府、医疗机构、军事组织和非政府组织广泛使用,因此该后门的破坏力可以说是很神奇。卡巴斯基安全团队表示,SessionManager恶意软件样本目前未被大多数主要在线文件扫描服务标记。此外,SessionManager感染在90%的目标组织中持续存在。SessionManager背后的威胁参与者在过去15个月里一直在使用它。卡巴斯基怀疑一个名为Gelsemium的黑客组织对这些攻击负责,因为黑客攻击模式符合该组织的MO。但是,分析师无法确认Gelsemium是罪魁祸首。该恶意软件使用为MicrosoftInternetInformationServices(IIS)Web服务器软件编写的强大的恶意本机代码模块。安装后,它们会响应特殊的HTTP请求以收集敏感信息。攻击者还可以完全控制服务器,部署额外的黑客工具,并将其用于其他恶意目的。有趣的是,安装SessionManager的过程依赖于利用一组统称为ProxyLogon(CVE-2021-26855)的漏洞。去年,微软表示其90%以上的Exchange服务器都已修补或缓解,但这仍然使许多已经受损的服务器面临风险。虽然拔掉SessionManager的过程很复杂,但卡巴斯基研究人员提供了一些关于保护您的组织免受SessionManager等威胁的建议。您还可以查阅Securelist以获取有关SessionManager如何运行和妥协指标的更多相关信息。
