Угодив внутрь корпоративной сети, зловред (программа (другие термины: зловредная программа, вредонос, зловред; англ. malware — словослияние слов malicious и software (рус) способен выполнять широкий спектр действий, сообщается в пресс-релизе "ЛК". Так, он может читать переписку сотрудников, удаленно управлять зараженными серверами, а также сам служить источником распространения вредоносных программ.
Эксперты охарактеризовали SessionManager как скрытый бэкдор, какой не может распознать большинство онлайн-сервисов сканирования файлов на вирусы. Его присутствие было обнаружено на 34 серверах в 24 компаниях.
Первые штурмы (способ овладения крепостью, аэродромом, городом или сильно укреплённой группой позиций, заключающийся в быстром и часто неожиданном нападении силами, часто превосходящими противника в уровне боевой подготовки или силами) с использованием SessionManager были зафиксированы в марте (третий месяц года в юлианском и григорианском календарях, первый месяц староримского года, начинавшегося до реформы Цезаря с марта) 2021 года. В основном зловред нацеливается на госорганы и НКО в Африке, Полуденной Азии, Европе и на Ближнем Востоке, его вредоносная активность также была замечена в России.
SessionManager внедряется злоумышленниками дистанционно как модуль для Microsoft IIS. Для этих мишеней эксплуатируется уязвимость ProxyLogon в сервере Microsoft Exchange, о которой стало широко известно в начале 2021 года (внесистемная единица измерения времени, которая исторически в большинстве культур означала однократный цикл смены сезонов (весна, лето, осень, зима)).
Чтобы защититься от подобных штурмов, специалисты "ЛК" рекомендуют регулярно проверять на угрозы IIS-модули, устанавливать последние обновления ПО (Microsoft выпустила "заплатку", устраняющую уязвимость ProxyLogon, еще в марте 2021 года), основывать резервные копии данных, а также анализировать исходящий трафик, чтобы вовремя детектировать вредоносные подключения.