Owowa Malware

Owowa je potenciálně nebezpečný nástroj zaměřený na servery Microsoft Exchange. Byl identifikován v roce 2020, zatímco výzkumníci analyzovali dříve neznámý binární soubor, který se ukázal být modulem IIS. Škodlivý program byl vyvinut v C# a zjevně je zaměřen na shromažďování přihlašovacích údajů a povolení vzdálených příkazů. Tato nová malwarová hrozba se tedy útočníkům jeví jako efektivní možnost, jak získat silnou oporu v cílených sítích zajištěním perzistence na serveru Exchange.

Doposud bylo v Asii identifikováno několik kompromitovaných serverů. Zatímco většina z nich patří vládním organizacím, existuje jedna, která patří vládnímu dopravnímu podniku.

Owowa má být načten jako modul v rámci serveru IIS, protože jediný relevantní kód se nachází ve třídě ExtenderControlDesigner, která implementuje rozhraní specifické pro IIS. Konkrétně je Owowa navržena tak, aby kontrolovala požadavky a odpovědi HTTP pomocí zavěšení konkrétní události vyvolané, když webová aplikace IIS odešle obsah klientovi. Cílem Owowa je proto shromáždit přihlašovací údaje uživatelů, kteří se úspěšně ověřili na webové stránce OWA.

Nejnovější nalezený vzorek byl detekován v dubnu 2021. Vědci se však domnívají, že modul byl sestaven několik měsíců před tím. Poškozený modul obsahuje další sestavení, které je prázdné a nepoužité, a třídu AssemblyLoader z oboru názvů Costura.

Výzkumníci zatím nezjistili žádné spojení mezi Owowou a jakýmikoli jinými známými aktéry ohrožení, protože dostupných údajů o nasazení a provozu malwaru je stále příliš málo. Přesto vývojáři modulu neodstranili cesty PDB v některých analyzovaných vzorcích. Konkrétní uživatelské jméno „S3crt“ nalezené v cestách naznačuje, že by zde mohl být odkaz na útočné nástroje Cobalt Strike a Core Impact.