Owowa Malware

Owowa to potencjalnie niebezpieczne narzędzie atakujące serwery Microsoft Exchange. Został zidentyfikowany w 2020 roku, podczas gdy badacze przeanalizowali nieznany wcześniej plik binarny, który okazał się modułem IIS. Szkodliwy program został opracowany w C# i najwyraźniej ma na celu zbieranie danych uwierzytelniających i włączanie zdalnych poleceń. Dlatego to nowe zagrożenie złośliwym oprogramowaniem wydaje się skuteczną opcją dla atakujących, aby zdobyć silną pozycję w docelowych sieciach poprzez zapewnienie trwałości na serwerze Exchange.

Jak dotąd w Azji zidentyfikowano kilka zhakowanych serwerów. Podczas gdy większość z nich należy do organizacji rządowych, jest jedna, która należy do państwowej firmy transportowej.

Owowa ma być ładowana jako moduł w serwerze IIS, ponieważ jedyny odpowiedni kod znajduje się w klasie ExtenderControlDesigner, która implementuje interfejs specyficzny dla IIS. W szczególności, Owowa została zaprojektowana do kontrolowania żądań i odpowiedzi HTTP poprzez podpięcie konkretnego zdarzenia wywołanego, gdy aplikacja sieci Web IIS wysyła zawartość do klienta. Dlatego celem Owowa jest zbieranie danych uwierzytelniających użytkowników, którzy pomyślnie uwierzytelnili się na stronie internetowej OWA.

Najnowsza znaleziona próbka została wykryta w kwietniu 2021 r. Jednak naukowcy uważają, że moduł został zmontowany kilka miesięcy wcześniej. Uszkodzony moduł zawiera dodatkowy zestaw, który jest pusty i nieużywany, oraz klasę AssemblyLoader z przestrzeni nazw Costura.

Badacze nie zidentyfikowali jeszcze żadnego powiązania między Owową a innymi znanymi cyberprzestępcami, ponieważ dostępne dane na temat wdrażania i działania szkodliwego oprogramowania są wciąż zbyt skąpe. Jednak twórcy modułu nie usunęli ścieżek PDB w niektórych analizowanych próbkach. Konkretna nazwa użytkownika „S3crt” znaleziona w ścieżkach sugeruje, że może istnieć link do ofensywnych narzędzi Cobalt Strike i Core Impact.