後門程式 SessionManager 攻擊全球 Exchange Server 修補更新也消滅不了？

近日安全專家發現駭客發動攻擊，在歐洲、中東、亞洲及非洲的政府、軍事及非政府組織的微軟 Exchange Server 植入後門程式，包括台灣。

安全廠商卡巴斯基首先於 2020 年初發現這隻名為 SessionManager 的惡意程式，它是一直專為微軟 IIS 網頁伺服器設計的原生程式碼模組。

攻擊活動至少 2021 年 3 月就開始，大約和去年中國國家駭客攻擊 Exchange Server ProxyLogon 漏洞同時，但一直沒被發現。

修補更新消滅不了的 SessionManager

SessionManager 讓攻擊者得以在受害系統內滲透潛伏，不受電腦更新破壞，且可暗中存取大型目標組織 IT 基礎架構。SessionManager 功能包括在受害伺服器內植入和管理任意檔案、遠端執行指令、連結和伺服器同一網路的端點裝置，並操縱網路流量。一旦植入受害者的 Exchange Server，攻擊者就可植入其他惡意程式存取受害者電子郵件、自我更新，或是將受害伺服器當成惡意攻擊跳板來管理。

卡巴斯基今年 4 月發現的惡意程式部署在 24 個組織的 34 台伺服器上，包括 NGO、政府、醫療機構、石油及運輸業，受害者分佈於歐洲、中東、南亞及非洲。90% 都還在運作，且仍未被線上掃瞄服務 VirusTotal 發現。

在部署到 Exchange Server 服務後，惡意 IIS 模組可讓背後營運的駭客從系統記憶體取得帳密等憑證資料、從受害網路或終端裝置蒐集資訊，再安裝其他惡意程式，包括程式下載器 Mimikatz 或合法記憶體傾印工具 (memory dump tool) Avast、Mimikatz SSP、ProcDump 等。

根據駭客使用的策略、手法和工具，卡巴斯基相信 SessionManager IIS 後門程式的操作者可能是國家級駭客組織 Gelsemium，正在發動全球間諜行動。Gelsemium 在 2014 年被首次發現，2020 年到 2021 年它也涉嫌攻擊 NoxPlayer Android 模擬程式，以感染 1.5 億台 Windows 及 MacOS 機器。

來源：Bleeping Computer