ผู้โจมตีใช้มัลแวร์ตัวใหม่เพื่อเป็น backdoor บน Microsoft Exchange server ของรัฐบาล และองค์กรทางการทหารจากยุโรป ตะวันออกกลาง เอเชีย และแอฟริกา อย่างลับๆ  โดยตัวมัลแวร์ชื่อ SessionManager ถูกพบโดยนักวิจัยด้านความปลอดภัยจาก Kaspersky ครั้งแรกเมื่อต้นปี 2565 โดยมัลแวร์เป็นลักษณะ native-code module สำหรับ Microsoft's Internet Information Services (IIS) เว็บเซิร์ฟเวอร์

ตัวมัลแวร์ถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคมปี 2021 จากการโจมตีระลอกใหญ่ด้วยช่องโหว่ ProxyLogon แต่มัลแวร์ดังกล่าวกลับไม่เคยถูกตรวจพบมาก่อน  Kaspersky ระบุว่า "SessionManager backdoor จะช่วยให้ผู้โจมตีสามารถแฝงตัวอยู่บนระบบของเหยื่อได้เป็นอย่างดี"

"เมื่อเข้าถึงระบบของเหยื่อได้แล้ว มันจะเปิดช่องทางให้ผู้โจมตีสามารถเข้าถึงอีเมลของบริษัท ดาวน์โหลดมัลแวร์ตัวอื่นเพิ่มเติม หรือแม้แต่เข้าควบคุมเซิร์ฟเวอร์ของเหยื่อเพื่อใช้เป็นฐานในการโจมตีต่อไป"

(more…)