新型后门利用ProxyLogon漏洞入侵并伪装成IIS模块在全球传播

最近的网络安全研究中发现，一种在全球范围内针对微软Exchange服务器进行入侵的恶意程序曝光，该恶意程序从2021年3月以来在全球传播，截止今年6月仍有超20个组织机构的网络中感染该恶意程序没有彻底清除干净。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该恶意程序被称为 SessionManager ，利用 Exchange 服务器中的一个 ProxyLogon 漏洞后伪装成微软IIS的模块，IIS是一种 Windows 服务器的 Web 服务软件。

通过IIS模块作为分发隐秘植入的恶意程序，早在2021年12月曝光的名为Owowa的Outlook凭据窃取恶意程序中被发现使用了该技术。

网络安全研究人员称，将IIS模块后门程序删除后，黑客还是可以在目标组织的IT基础设施中持久化，并保持相对隐秘的访问，可以持续收集电子邮件，以及进行进一步的恶意访问，并对入侵的服务器进行秘密管理，将这些被入侵的服务器作为恶意程序的基础设施进行利用。

卡巴斯基安全研究团队在对恶意程序样本进行分析后，认为该恶意程序归因于名为Gelsemium的黑客组织，理由是它们的恶意程序样本在逆向分析时发现存在大量重叠的部分。

SessionManager 恶意程序被称为轻量级的持久的初始访问后门，具有读、写、删除任意文件的功能，从服务器执行二进制文件的功能，并与网络中的其他端点建立通信的功能。

该恶意软件进一步充当了一个秘密通道，用于进行侦察、收集内存中的密码，并调用其他工具，例如 Mimikatz 以及 Avast 的内存转储程序。

美国网络安全和基础设施安全局 (CISA)警告使用微软 Exchange 平台的组织机构在 2022 年 10 月 1 日之前切换到新的身份验证方法，以避免ProxyLogon漏洞的持续的安全威胁。