卡巴斯基专家发现了一个难以检测的SessionManager后门程序，该后门被设置为互联网信息服务（IIS）中的恶意模块，IIS是由微软编辑的常用Web服务器。一旦传播，SessionManager就会进行广泛的恶意活动，从收集电子邮件到完全控制受害者的基础设施。这一新发现的后门在2021年3月底首次被利用，目前已经攻击了非洲、南亚、欧洲和中东的政府机构和非政府组织。到目前为止，大多数目标组织仍然受到感染。

2021年12月，卡巴斯基发现了“Owowa”，这是一个以前未知的IIS模块，可以窃取用户在登录Outlook Web Access（OWA）时输入的凭据。自那时起，卡巴斯基的专家一直在密切关注网络犯罪活动的新机会——- 很明显，在IIS中部署后门是威胁行为者的趋势，他们之前利用了微软Exchang服务器内的一个 “ProxyLogon型”漏洞。在最近的一次调查中，卡巴斯基专家发现了一个新的不受欢迎的模块后门，名为SessionManager。

SessionManager后门使威胁行为者能够保持对目标组织的IT基础架构的持久、抗更新和相当隐秘的访问。一旦被释放到受害者系统中，该后门幕后的网络罪犯就可以访问公司电子邮件，通过安装其他类型的恶意软件来更新进一步的恶意访问，或者秘密管理受危害的服务器，这些服务器可以被用作恶意基础设施。

SessionManager的一个明显特征是其低检测率。卡巴斯基研究人员在2022年初首次发现，在大多数流行的在线文件扫描服务中，一些后门样本仍未被标记为恶意。截止到目前，根据卡巴斯基研究人员进行的互联网扫描，SessionManager仍被部署在90%以上的目标组织中。

总体来看，来自欧洲，中东，南亚和非洲的24个组织的34台服务器受到SessionManager的入侵。运营SessionManager的威胁者对非政府组织和政府实体表现出特别的兴趣，但医疗组织、石油公司、运输公司等也是其攻击目标。

SessionManager攻击活动的被攻击组织地图

由于类似的受害者类型和常见的“OwlProxy”变体的使用，卡巴斯基专家认为，恶意IIS模块可能已被GELSEMIUM威胁行为者利用，作为其间谍攻击行动的一部分。

“自2021年第一季度以来，利用Exchange服务器的漏洞一直是网络罪犯入侵目标基础设施的最常用手段。值得注意的是，它促成了一系列长期未被注意的网络间谍活动。最近发现的SessionManager在一年内被检测出来，而且仍然部署在野外。面对大规模和前所未有的服务器端漏洞利用，大多数网络安全人员都忙于调查和应对首次发现的犯罪行为。因此，仍有可能在几个月或几年后发现相关的恶意活动，而且这种情况可能会持续很长时间，”卡巴斯基全球研究与分析团队高级安全研究员Pierre Delcher评论说。

“了解实际和最近的网络威胁对于公司保护其资产至关重要。这类攻击可能会给公司造成严重的经济或信誉损失，还可以干扰被攻击目标的运营。威胁情报是能够可靠和及时预测此类威胁的唯一组件。就Exchange服务器而言，怎么强调其安全性都不为过：过去一年的漏洞已经使它们成为完美的攻击目标，无论攻击者的恶意意图如何，都应该仔细审核和监控隐藏的植入物，如果还没有这样做的话，”Pierre补充说。

卡巴斯基产品能够检测出多种恶意IIS模块，包括SessionManager。要了解更多有关SessionManager的运营风格和攻击目标，请访问Securelist.com.

为了保护您的企业免遭这类威胁的侵害，卡巴斯基专家建议：

利用IIS服务器套件的现有工具，定期检查暴露的IIS服务器（特别是Exchange服务器）上加载的IIS模块。一旦微软服务器产品出现重大漏洞时，都要检查这类模块，作为威胁搜索活动的一部分。

将您的防御策略集中在检测横向移动和数据泄露到互联网上。特别注意出站流量，以检测网络罪犯的连接。定期备份数据。确保你能在紧急情况下快速访问这些备份。

使用诸如卡巴斯基端点检测和响应以及卡巴斯基管理检测和响应服务等，这些解决方案能够帮助在攻击者实现其目的之前，在攻击早期阶段识别和拦截攻击。

使用一款可靠的端点安全解决方案，例如卡巴斯基网络安全解决方案（KESB）。该产品拥有强大的漏洞入侵防护、行为检测功能和能够回滚恶意行为的修复引擎。KESB还具有自我防御机制，能够避免被网络罪犯清除。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务，为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合，包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务，全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己，我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情，请访问www.kaspersky.com.