卡巴斯基专家发现了一个难以检测的SessionManager后门程序，该后门被设置为互联网信息服务（IIS）中的恶意模块，IIS是由微软编辑的常用Web服务器。一旦传播，SessionManager就会进行广泛的恶意活动，从收集电子邮件到完全控制受害者的基础设施。

这一新发现的后门程序在2021年3月底首次被利用，目前已经攻击了非洲、南亚、欧洲和中东的政府机构和非政府组织。到目前为止，大多数目标组织仍然受到感染。

2021年12月，卡巴斯基发现了“Owowa”，这是一个以前未知的IIS模块，可以窃取用户在登录Outlook Web Access（OWA）时输入的凭据。自那时起，卡巴斯基专家一直在密切关注网络犯罪活动的新机会——很明显，在IIS中部署后门是威胁行为者的趋势，他们之前利用了微软Exchange服务器内的一个“ProxyLogon型”漏洞。在最近的一次调查中，卡巴斯基专家发现了一个新的不受欢迎的模块后门程序，名为SessionManager。

SessionManager后门程序使威胁行为者能够对目标组织的IT基础架构进行持久、抗更新和相当隐秘的访问。一旦被释放到受害者系统中，该后门幕后的网络罪犯就可以访问公司电子邮件，通过安装其他类型的恶意软件来更新进一步的恶意访问，或者秘密管理被入侵的服务器，这些服务器可以被用作恶意基础设施。

SessionManager的一个明显特征是其低检测率。卡巴斯基研究人员在2022年初首次发现，在大多数流行的在线文件扫描服务中，一些后门样本仍未被标记为恶意。截止到目前，根据卡巴斯基研究人员进行的互联网扫描，SessionManager仍被部署在90%以上的目标组织中。

总体来看，来自欧洲，中东，南亚和非洲的24个组织的34台服务器受到SessionManager的入侵。运营SessionManager的威胁者对非政府组织和政府实体表现出特别的兴趣，但医疗组织、石油公司、运输公司等也是其攻击目标。

由于类似的受害者类型和常见的“OwlProxy”变体的使用，卡巴斯基专家认为，恶意IIS模块可能已被GELSEMIUM威胁行为者利用，作为其间谍攻击行动的一部分。

Pierre Delcher 卡巴斯基全球研究与分析团队高级安全研究员

“自2021年第一季度以来，利用Exchange服务器的漏洞一直是网络罪犯入侵目标基础设施的最常用手段。值得注意的是，它促成了一系列长期未被注意的网络间谍活动。最近发现的SessionManager很难在一年内被检测出来，且仍然部署在野外。

面对大规模和前所未有的服务器端漏洞利用，大多数网络安全人员都忙于调查和应对首次发现的犯罪行为。因此，仍有可能在几个月或几年后发现相关的恶意活动，而且这种情况可能会持续很长时间。”

“了解实际和最近发生的网络威胁对于公司保护其资产至关重要。这类攻击可能会给公司造成严重的经济或信誉损失，还可以干扰被攻击目标的运营。威胁情报是能够可靠和及时预测此类威胁的唯一组件。就Exchange服务器而言，怎么强调其安全性都不为过：过去一年的漏洞已经使其成为完美的攻击目标，无论攻击者的恶意意图如何，都应该仔细审核和监控隐藏的植入物，如果还没有这样做的话。”