ओवावा मैलवेयर
Owowa Microsoft Exchange सर्वरों को लक्षित करने वाला एक संभावित असुरक्षित उपकरण है। इसकी पहचान 2020 में की गई थी, जबकि शोधकर्ताओं ने पहले की अज्ञात बाइनरी फ़ाइल का विश्लेषण किया था, जो आईआईएस मॉड्यूल निकला। हानिकारक कार्यक्रम C# में विकसित किया गया है और जाहिर है, इसका उद्देश्य क्रेडेंशियल एकत्र करना और दूरस्थ कमांड को सक्षम करना है। इस प्रकार, यह नया मैलवेयर खतरा एक एक्सचेंज सर्वर के भीतर दृढ़ता सुनिश्चित करके लक्षित नेटवर्क में मजबूत पैर जमाने के लिए हमलावरों के लिए एक प्रभावी विकल्प की तरह लगता है।
अब तक, एशिया में कई समझौता किए गए सर्वरों की पहचान की गई है। जबकि उनमें से अधिकांश सरकारी संगठनों से संबंधित हैं, वहीं एक सरकारी स्वामित्व वाली परिवहन कंपनी से संबंधित है।
ओवोवा को आईआईएस सर्वर के भीतर एक मॉड्यूल के रूप में लोड करने का इरादा है, क्योंकि एकमात्र प्रासंगिक कोड क्लास एक्सटेंडरकंट्रोलडिजाइनर में स्थित है, जो आईआईएस-विशिष्ट इंटरफेस को लागू करता है। विशेष रूप से, ओवोवा को एक आईआईएस वेब एप्लिकेशन क्लाइंट को सामग्री भेजने पर उठाए गए एक विशेष घटना को जोड़कर HTTP अनुरोधों और प्रतिक्रियाओं का निरीक्षण करने के लिए डिज़ाइन किया गया है। इसलिए, Owowa का लक्ष्य उन उपयोगकर्ताओं की साख एकत्र करना है जिन्होंने OWA वेब पेज पर सफलतापूर्वक प्रमाणित किया है।
सबसे हालिया नमूना अप्रैल 2021 में पाया गया था। हालांकि, शोधकर्ताओं का मानना है कि मॉड्यूल को उससे कई महीने पहले इकट्ठा किया गया था। दूषित मॉड्यूल में एक अतिरिक्त असेंबली है जो खाली और अप्रयुक्त है और एक कॉस्टुरा नेमस्पेस से एक असेंबली लोडर क्लास है।
शोधकर्ताओं ने अभी तक ओवोवा और किसी अन्य ज्ञात खतरे वाले अभिनेताओं के बीच किसी भी लिंक की पहचान नहीं की है, क्योंकि मैलवेयर की तैनाती और संचालन पर उपलब्ध डेटा अभी भी बहुत कम है। फिर भी, मॉड्यूल के डेवलपर्स ने कुछ विश्लेषण किए गए नमूनों में पीडीबी पथ को नहीं हटाया है। पथों में पाए जाने वाले विशिष्ट उपयोगकर्ता नाम "S3crt" से पता चलता है कि आक्रामक उपकरण कोबाल्ट स्ट्राइक और कोर इंपैक्ट के लिए एक लिंक हो सकता है।
