Owowa skadelig programvare

Owowa er et potensielt usikkert verktøy rettet mot Microsoft Exchange-servere. Den ble identifisert i 2020, mens forskere analyserte en tidligere ukjent binær fil, som viste seg å være en IIS-modul. Det skadelige programmet er utviklet i C#, og tilsynelatende er det rettet mot å samle inn legitimasjon og aktivere eksterne kommandoer. Dermed virker denne nye malware-trusselen som et effektivt alternativ for angripere å få et sterkt fotfeste i målrettede nettverk ved å sikre utholdenhet i en Exchange-server.

Så langt har flere kompromitterte servere blitt identifisert i Asia. Mens de fleste av dem tilhører offentlige organisasjoner, er det en som tilhører et offentlig eid transportselskap.

Owowa er ment å lastes som en modul i en IIS-server, da den eneste relevante koden ligger i klassen ExtenderControlDesigner, som implementerer et IIS-spesifikt grensesnitt. Spesifikt er Owowa designet for å inspisere HTTP-forespørsler og svar ved å koble til en bestemt hendelse som oppstår når en IIS-webapplikasjon sender innhold til klienten. Derfor er Owowas mål å samle inn legitimasjonen til brukere som har autentisert seg på OWA-nettsiden.

Den siste prøven som ble funnet ble oppdaget i april 2021. Forskere mener imidlertid at modulen ble satt sammen flere måneder før det. Den ødelagte modulen inneholder en ekstra sammenstilling som er tom og ubrukt og en AssemblyLoader-klasse fra et Costura-navneområde.

Forskere har foreløpig ikke identifisert noen kobling mellom Owowa og noen andre kjente trusselaktører, fordi tilgjengelige data om utplasseringen og driften av skadevaren fortsatt er for knappe. Likevel har ikke modulens utviklere fjernet PDB-banene i noen av de analyserte prøvene. Det spesifikke brukernavnet "S3crt" som finnes i banene antyder at det kan være en kobling til de offensive verktøyene Cobalt Strike og Core Impact.