Licenties voor meerdere apparaten (volumekortingen)
Threat Database Malware Owowa-malware

Owowa-malware

Tegen Favila in Malware
Vertalen naar:
Nederlands

Owowa is een potentieel onveilige tool gericht op Microsoft Exchange-servers. Het werd in 2020 geïdentificeerd, terwijl onderzoekers een voorheen onbekend binair bestand analyseerden, dat een IIS-module bleek te zijn. Het schadelijke programma is ontwikkeld in C# en is blijkbaar gericht op het verzamelen van inloggegevens en het inschakelen van externe opdrachten. Deze nieuwe malwaredreiging lijkt dus een effectieve optie voor aanvallers om een sterke voet aan de grond te krijgen in gerichte netwerken door te zorgen voor persistentie binnen een Exchange-server.

Tot nu toe zijn er verschillende gecompromitteerde servers geïdentificeerd in Azië. Hoewel de meeste van overheidsorganisaties zijn, is er een die toebehoort aan een transportbedrijf dat eigendom is van de overheid.

Owowa is bedoeld om te worden geladen als een module binnen een IIS-server, aangezien de enige relevante code zich in de klasse ExtenderControlDesigner bevindt, die een IIS-specifieke interface implementeert. Owowa is met name ontworpen om HTTP-verzoeken en -antwoorden te inspecteren door een bepaalde gebeurtenis vast te haken die wordt gegenereerd wanneer een IIS-webtoepassing inhoud naar de client verzendt. Daarom is het doel van Owowa om de inloggegevens te verzamelen van gebruikers die zich met succes hebben geverifieerd op de OWA-webpagina.

Het meest recent gevonden monster werd in april 2021 gedetecteerd. Onderzoekers denken echter dat de module enkele maanden daarvoor is gemonteerd. De beschadigde module bevat een extra assembly die leeg en ongebruikt is en een klasse AssemblyLoader uit een Costura-naamruimte.

Onderzoekers hebben nog geen verband gevonden tussen Owowa en andere bekende dreigingsactoren, omdat de beschikbare gegevens over de inzet en werking van de malware nog te schaars zijn. Toch hebben de ontwikkelaars van de module de PDB-paden in sommige geanalyseerde voorbeelden niet verwijderd. De specifieke gebruikersnaam "S3crt" die in de paden wordt gevonden, suggereert dat er een link zou kunnen zijn naar de offensieve tools Cobalt Strike en Core Impact.

Trending

Meest bekeken

Bezig met laden...