Kaspersky Labは7月30日(米国時間)、「The SessionManager IIS backdoor: a possibly overlooked GELSEMIUM artefact | Securelist」において、Microsoft ExchangeサーバのIIS(Internet Information Service)を標的とした新たなバックドア型マルウェアを発見したと伝えた。「SessionManager」と呼ばれるこのマルウェアは、Kaspersky Labの調査によって20を超える組織のIISサーバに配備されていたことが明らかとなった。

The SessionManager IIS backdoor: a possibly overlooked GELSEMIUM artefact | Securelist

SessionManagerは、ProxyLogonと呼ばれるMicrosoft Exchangeサーバに発見された重大な脆弱性を悪用したバックドア型マルウェア。少なくとも2021年3月以降、アフリカ、南アメリカ、アジア、ヨーロッパ、ロシア、中東のNGO、政府、軍事、産業組織などに対して悪用されたことが判明している。持続的標的型攻撃(APT: Advanced Persistent Threat)グループであるGELSEMIUMがスパイ活動の一環として使った可能性があると見られている。

SessionManagerには、次のような機能があることがわかっている。Kaspersky Labはこれら機能を組み合わせることで軽量で永続的なバックドアツールとなるとしている。

侵害されたサーバ上の任意のファイルの読み取り、書き込み、削除

侵害されたサーバから任意のバイナリを実行できる(「リモートコマンド実行」とも呼ばれる)

侵害されたサーバーから到達可能な任意のネットワークエンドポイントへの接続を確立し、その接続において読み取りおよび書き込みができる

Kaspersky Labでは、SessionManagerなどのマルウェアがIISサーバにあることが判明した場合、削除するだけでなく次のアクションを行うよう勧めている。

IISが実行されている稼働中のシステムから揮発性メモリのスナップショットを取得し、セキュリティ専門家に支援を要請

IISサーバを停止し、システムを一般に到達可能なネットワークから切り離す

今後のインシデント対応に備え、IIS環境からすべてのファイルとログをバックアップしてデータを保持

IISマネージャまたはappcmdコマンドツールを使用し、アプリおよびサーバ構成から特定されたマルウェアのすべての参照を削除

IISサーバとオペレーティングシステムを更新し、既知の脆弱性がサイバー犯罪に使われないよう対応

マルウェアがオペレータによってどのように悪用されるのかを理解し、インシデント対応活動を継続して行っていくことが推奨される。