오와와 악성코드

Oowa는 Microsoft Exchange 서버를 대상으로 하는 잠재적으로 안전하지 않은 도구입니다. 2020년에 확인되었으며 연구원들은 이전에 알려지지 않은 바이너리 파일을 분석했는데 IIS 모듈로 판명되었습니다. 유해한 프로그램은 C#으로 개발되었으며 분명히 자격 증명을 수집하고 원격 명령을 활성화하는 것을 목표로 합니다. 따라서 이 새로운 맬웨어 위협은 공격자가 Exchange 서버 내에서 지속성을 보장함으로써 표적 네트워크에서 강력한 발판을 확보하는 효과적인 옵션으로 보입니다.

지금까지 아시아에서 손상된 서버 몇 대가 확인되었습니다. 대부분이 정부 기관에 속하지만 정부 소유의 운송 회사에 속한 기관이 있습니다.

Owowa는 IIS 전용 인터페이스를 구현하는 ExtenderControlDesigner 클래스에 유일한 관련 코드가 있기 때문에 IIS 서버 내에서 모듈로 로드되도록 되어 있습니다. 특히 Oowa는 IIS 웹 응용 프로그램이 클라이언트에 콘텐츠를 보낼 때 발생하는 특정 이벤트를 연결하여 HTTP 요청 및 응답을 검사하도록 설계되었습니다. 따라서 Owowa의 목표는 OWA 웹 페이지에서 성공적으로 인증된 사용자의 자격 증명을 수집하는 것입니다.

가장 최근에 발견된 샘플은 2021년 4월에 발견되었습니다. 그러나 연구원들은 모듈이 그보다 몇 달 전에 조립된 것으로 믿고 있습니다. 손상된 모듈에는 비어 있고 사용되지 않는 추가 어셈블리와 Costura 네임스페이스의 AssemblyLoader 클래스가 포함되어 있습니다.

연구원들은 멀웨어의 배포 및 운영에 대한 사용 가능한 데이터가 여전히 너무 부족하기 때문에 Oowa와 알려진 다른 위협 행위자 간의 연관성을 아직 확인하지 못했습니다. 그러나 모듈의 개발자는 분석된 샘플 중 일부에서 PDB 경로를 제거하지 않았습니다. 경로에서 발견된 특정 사용자 이름 "S3crt"는 공격적인 도구인 Cobalt Strike 및 Core Impact에 대한 링크가 있을 수 있음을 나타냅니다.