Pesquisadores da Kaspersky identificaram um novo backdoor que tem sido usado para direcionar servidores Microsoft IIS desde pelo menos março de 2021.

Isso ocorre após a descoberta do Owowa em dezembro de 2021. O SessionManager tem sido usado para atingir uma variedade de organizações governamentais, ONGs, industriais e militares na Ásia, Oriente Médio, África, América do Sul e Europa.

O backdoor permite que seus operadores mantenham acesso persistente e furtivo à infraestrutura de TI da organização alvo. Além disso, SessionManager tem uma baixa taxa de detecção.

De acordo com uma verificação da Kaspersky, mais de 90% das empresas-alvo ainda têm o backdoor implantado. Desenvolvido em C++, o backdoor é um módulo IIS de código nativo malicioso carregado por determinados aplicativos IIS para processar solicitações HTTP legítimas.

Embora esses módulos pareçam legítimos, eles acionam ações com base nas instruções dos operadores.

Ele pode ler, gravar e excluir arquivos arbitrários no servidor infectado, executar RCE e estabelecer conexões com terminais de rede arbitrários.