野生のMicrosoftIISサーバーを標的とする新しい「SessionManager」バックドア from thehackernews.com

新たに発見されたマルウェアは、少なくとも2021年3月以降、世界中のさまざまなエンティティに属するMicrosoft Exchangeサーバーをバックドアするために使用されており、2022年6月の時点で20の組織に感染が残っています。
悪意のあるツールはSessionManagerと呼ばれ、Exchangeサーバー内のProxyLogonの欠陥の1つを悪用した後、Windowsシステム用のWebサーバーソフトウェアであるインターネットインフォメーションサービス（IIS）のモジュールになりすます。
現在までに、合計34台のサーバーがSessionManagerバリアントによって侵害されています。
最新の攻撃チェーンも例外ではなく、Gelsemiumの乗組員はこの欠陥を悪用して、C++でコード化されHTTPを処理するように設計されたバックドアであるSessionManagerを削除しました。
サーバーに送信されたリクエスト。
サーバーからバイナリを実行します。