أووا البرامج الضارة
Owowa هي أداة يحتمل أن تكون غير آمنة تستهدف خوادم Microsoft Exchange. تم تحديده في عام 2020 ، بينما قام الباحثون بتحليل ملف ثنائي غير معروف سابقًا ، والذي تبين أنه وحدة IIS. تم تطوير البرنامج الضار في C # ، ويبدو أنه يهدف إلى جمع بيانات الاعتماد وتمكين الأوامر عن بُعد. وبالتالي ، يبدو هذا التهديد الجديد من البرامج الضارة كخيار فعال للمهاجمين لكسب موطئ قدم قوي في الشبكات المستهدفة من خلال ضمان الثبات داخل خادم Exchange.
حتى الآن ، تم تحديد العديد من الخوادم المخترقة في آسيا. في حين أن معظمهم ينتمون إلى مؤسسات حكومية ، إلا أن هناك واحدة تنتمي إلى شركة نقل مملوكة للحكومة.
من المفترض أن يتم تحميل Owowa كوحدة نمطية داخل خادم IIS ، حيث أن الكود الوحيد ذي الصلة موجود في فئة ExtenderControlDesigner ، والتي تنفذ واجهة خاصة بـ IIS. على وجه التحديد ، تم تصميم Owowa لفحص طلبات واستجابات HTTP من خلال ربط حدث معين يتم رفعه عندما يرسل تطبيق ويب IIS محتوى إلى العميل. لذلك ، هدف Owowa هو جمع بيانات اعتماد المستخدمين الذين تمت المصادقة عليهم بنجاح على صفحة ويب OWA.
تم اكتشاف أحدث عينة تم العثور عليها في أبريل 2021. ومع ذلك ، يعتقد الباحثون أنه تم تجميع الوحدة قبل عدة أشهر من ذلك. تحتوي الوحدة التالفة على تجميع إضافي فارغ وغير مستخدم وفئة AssemblyLoader من مساحة اسم Costura.
لم يحدد الباحثون بعد أي رابط بين Owowa وأي جهات تهديد معروفة أخرى ، لأن البيانات المتاحة حول نشر وتشغيل البرامج الضارة لا تزال نادرة للغاية. ومع ذلك ، لم يقم مطورو الوحدة بإزالة مسارات PDB في بعض العينات التي تم تحليلها. يشير اسم المستخدم المحدد "S3crt" الموجود في المسارات إلى إمكانية وجود رابط للأدوات الهجومية Cobalt Strike و Core Impact.
