Threat Database Malware Owowa Вредоносное ПО

Owowa Вредоносное ПО

Owowa - потенциально опасный инструмент, предназначенный для серверов Microsoft Exchange. Он был обнаружен в 2020 году, когда исследователи проанализировали ранее неизвестный двоичный файл, который оказался модулем IIS. Вредоносная программа разработана на C # и, по всей видимости, направлена на сбор учетных данных и включение удаленных команд. Таким образом, эта новая вредоносная угроза кажется эффективным вариантом для злоумышленников, чтобы закрепиться в целевых сетях, обеспечивая постоянство на сервере Exchange.

На данный момент в Азии было обнаружено несколько взломанных серверов. Хотя большинство из них принадлежат государственным организациям, есть одна транспортная компания, принадлежащая государству.

Owowa предназначена для загрузки в виде модуля на сервере IIS, поскольку единственный соответствующий код находится в классе ExtenderControlDesigner, который реализует интерфейс, специфичный для IIS. В частности, Owowa предназначена для проверки HTTP-запросов и ответов путем перехвата определенного события, возникающего, когда веб-приложение IIS отправляет контент клиенту. Следовательно, цель Owowa - собрать учетные данные пользователей, которые успешно прошли аутентификацию на веб-странице OWA.

Самый последний найденный образец был обнаружен в апреле 2021 года. Однако исследователи считают, что модуль был собран за несколько месяцев до этого. Поврежденный модуль содержит дополнительную сборку, которая пуста и не используется, и класс AssemblyLoader из пространства имен Costura.

Исследователи пока не выявили никакой связи между Owowa и другими известными злоумышленниками, поскольку доступных данных о развертывании и работе вредоносного ПО по-прежнему слишком мало. Тем не менее, разработчики модуля не удалили пути PDB в некоторых проанализированных примерах. Конкретное имя пользователя «S3crt», найденное в путях, предполагает, что это может быть ссылка на наступательные инструменты Cobalt Strike и Core Impact.

В тренде

Наиболее просматриваемые

Загрузка...