本週四，卡巴斯基的安全團隊發布了一份令人擔憂的報告。報告指出在Exchange 服務器上發現了一個全新的、難以檢測的後門。這種名為SessionManager 的惡意軟件於2022 年初首次被發現。

Exchange 被全球多個國家的政府、醫療機構、軍事組織、非政府組織等廣泛使用，因此該後門的破壞力可以說是非常驚人的。

卡巴斯基安全團隊表示SessionManager 惡意軟件樣本目前並沒有被大多數主流在線文件掃描服務標記。此外，在90% 的目標組織中，SessionManager 感染會持續存在。

SessionManager 背後的威脅參與者在過去15 個月裡一直在使用它。卡巴斯基懷疑一個名為Gelsemium 的黑客組織對這些攻擊負責，因為黑客模式符合該組織的MO。然而，分析師無法證實Gelsemium 是罪魁禍首。

該惡意軟件使用為微軟Internet Information Services (IIS) Web 服務器軟件編寫的強大的惡意本機代碼模塊。安裝後，它們將響應特殊的HTTP 請求以收集敏感信息。攻擊者還可以完全控制服務器，部署額外的黑客工具，並將它們用於其他惡意目的。

有趣的是，安裝SessionManager 的過程依賴於利用一組統稱為ProxyLogon (CVE-2021-26855) 的漏洞。去年，微軟表示，超過90% 的Exchange 服務器已被修補或緩解，但這仍然使許多已經受到攻擊的服務器面臨風險。

雖然要拔除SessionManager 的過程非常複雜，不過卡巴斯基研究人員提供了一些關於保護您的組織免受SessionManager 等威脅的建議。您還可以諮詢Securelist 以獲取有關SessionManager 如何操作和危害指標的更多相關信息。