Зловмисники впроваджують зловшкідливий код дистанційно у вигляді модуля для Microsoft IIS, тобто набору веб-сервісів, що включає поштовий сервер Exchange. З роботою цього сервера стикається будь-який співробітник компанії під час використання корпоративної пошти Microsoft. Для поширення SessionManager та інших шкідливих IIS-модулів зловмисники експлуатують уразливість ProxyLogon.
Новий шкідник дозволяє отримати доступ до корпоративної ІТ-інфраструктури та виконувати широкий спектр шкідливих дій: читати корпоративну пошту, розповсюджувати шкідливе програмне забезпечення та віддалено керувати зараженими серверами.
SessionManager часто залишається непоміченим, оскільки його погано детектує більшість популярних онлайн-сканерів. Серед жертв — переважно державні органи та некомерційні організації в Африці, Південній Азії, Європі та на Близькому Сході,
Експерти зазначють, що уразливість ProxyLogon, що стала публічно відомою на початку 2021 року, в сервері Microsoft Exchange дала зловмисникам новий вектор для атак, яким вони активно користуються, у тому числі для завантаження бекдорів у вигляді модулів веб-сервера IIS. За допомогою одного з таких шкідників, SessionManager, зловмисники отримують стійкий до оновлень, довготривалий доступ до корпоративної ІТ-інфраструктури.