Owowa Malware

Owowa er et potentielt usikkert værktøj rettet mod Microsoft Exchange-servere. Det blev identificeret i 2020, mens forskere analyserede en hidtil ukendt binær fil, som viste sig at være et IIS-modul. Det skadelige program er udviklet i C#, og tilsyneladende er det rettet mod at indsamle legitimationsoplysninger og aktivere fjernkommandoer. Denne nye malwaretrussel virker således som en effektiv mulighed for angribere til at få et stærkt fodfæste i målrettede netværk ved at sikre vedholdenhed på en Exchange-server.

Indtil videre er flere kompromitterede servere blevet identificeret i Asien. Mens de fleste af dem tilhører statslige organisationer, er der en, der tilhører et statsejet transportfirma.

Owowa er beregnet til at blive indlæst som et modul i en IIS-server, da den eneste relevante kode er placeret i klassen ExtenderControlDesigner, som implementerer en IIS-specifik grænseflade. Specifikt er Owowa designet til at inspicere HTTP-anmodninger og -svar ved at tilslutte en bestemt hændelse, der opstår, når en IIS-webapplikation sender indhold til klienten. Derfor er Owowas mål at indsamle legitimationsoplysningerne for brugere, der med succes har godkendt på OWA-websiden.

Den seneste prøve blev fundet i april 2021. Forskere mener dog, at modulet blev samlet flere måneder før det. Det beskadigede modul indeholder en ekstra samling, der er tom og ubrugt, og en AssemblyLoader-klasse fra et Costura-navneområde.

Forskere har endnu ikke identificeret nogen forbindelse mellem Owowa og andre kendte trusselsaktører, fordi de tilgængelige data om malwarens udrulning og drift stadig er for sparsomme. Alligevel har modulets udviklere ikke fjernet PDB-stierne i nogle af de analyserede prøver. Det specifikke brugernavn "S3crt" fundet i stierne antyder, at der kunne være et link til de offensive værktøjer Cobalt Strike og Core Impact.