Threat Database Malware Owowa-haittaohjelma

Owowa-haittaohjelma

Owowa on mahdollisesti vaarallinen työkalu, joka on kohdistettu Microsoft Exchange -palvelimiin. Se tunnistettiin vuonna 2020, kun taas tutkijat analysoivat aiemmin tuntematonta binaaritiedostoa, joka osoittautui IIS-moduuliksi. Haitallinen ohjelma on kehitetty C#-kielellä ja ilmeisesti sen tarkoituksena on kerätä tunnistetietoja ja mahdollistaa etäkäskyjä. Näin ollen tämä uusi haittaohjelmauhka näyttää tehokkaalta vaihtoehdolta hyökkääjille saada vahva jalansija kohdistetuissa verkoissa varmistamalla pysyvyys Exchange-palvelimen sisällä.

Tähän mennessä Aasiassa on tunnistettu useita vaarantuneita palvelimia. Suurin osa niistä kuuluu valtion järjestöille, mutta yksi on valtion omistamalle kuljetusyritykselle.

Owowa on tarkoitettu ladattavaksi moduulina IIS-palvelimeen, koska ainoa asiaankuuluva koodi sijaitsee luokassa ExtenderControlDesigner, joka toteuttaa IIS-kohtaisen rajapinnan. Erityisesti Owowa on suunniteltu tarkastamaan HTTP-pyynnöt ja -vastaukset kiinnittämällä tiettyyn tapahtumaan, joka syntyy, kun IIS-verkkosovellus lähettää sisältöä asiakkaalle. Siksi Owowan tavoitteena on kerätä OWA-verkkosivulla onnistuneesti todettujen käyttäjien tunnistetiedot.

Viimeisin löydetty näyte löydettiin huhtikuussa 2021. Tutkijat uskovat kuitenkin, että moduuli koottiin useita kuukausia ennen sitä. Vioittunut moduuli sisältää ylimääräisen kokoonpanon, joka on tyhjä ja käyttämätön, ja AssemblyLoader-luokan Cotura-nimiavaruudesta.

Tutkijat eivät ole vielä havainneet yhteyttä Owowan ja muiden tunnettujen uhkatoimijoiden välillä, koska saatavilla oleva tieto haittaohjelman käyttöönotosta ja toiminnasta on vielä liian niukka. Moduulin kehittäjät eivät kuitenkaan ole poistaneet PDB-polkuja joistakin analysoiduista näytteistä. Poluissa oleva erityinen käyttäjänimi "S3crt" viittaa siihen, että siellä voisi olla linkki hyökkääviin työkaluihin Cobalt Strike ja Core Impact.

Trendaavat

Eniten katsottu

Ladataan...