放大(图片来源:Getty Images)
研究人员已经确定了威胁行为者在过去 15 个月中一直在使用隐蔽的新恶意软件,在 Microsoft Exchange 服务器遭到黑客攻击后对其进行后门。
被称为 SessionManager 的恶意软件伪装成 Internet 信息服务 (IIS) 的合法模块,IIS 是默认安装在 Exchange 服务器上的 Web 服务器。组织经常部署 IIS 模块以简化其 Web 基础架构上的特定流程。自 2021 年 3 月以来,安全公司卡巴斯基的研究人员已确定属于 24 个组织的 34 台服务器已感染 SessionManager。卡巴斯基表示,截至本月初,仍有 20 个组织受到感染。
隐身、坚持、力量
恶意 IIS 模块提供了一种部署强大、持久和隐秘的后门的理想方法。安装后,它们将响应运营商发送的特制 HTTP 请求,指示服务器收集电子邮件、添加进一步的恶意访问或将受感染的服务器用于秘密目的。对于未经训练的人来说,HTTP 请求看起来不起眼,尽管它们使操作员可以完全控制机器。