Owowa Вредоносное ПО
Owowa - потенциально опасный инструмент, предназначенный для серверов Microsoft Exchange. Он был обнаружен в 2020 году, когда исследователи проанализировали ранее неизвестный двоичный файл, который оказался модулем IIS. Вредоносная программа разработана на C # и, по всей видимости, направлена на сбор учетных данных и включение удаленных команд. Таким образом, эта новая вредоносная угроза кажется эффективным вариантом для злоумышленников, чтобы закрепиться в целевых сетях, обеспечивая постоянство на сервере Exchange.
На данный момент в Азии было обнаружено несколько взломанных серверов. Хотя большинство из них принадлежат государственным организациям, есть одна транспортная компания, принадлежащая государству.
Owowa предназначена для загрузки в виде модуля на сервере IIS, поскольку единственный соответствующий код находится в классе ExtenderControlDesigner, который реализует интерфейс, специфичный для IIS. В частности, Owowa предназначена для проверки HTTP-запросов и ответов путем перехвата определенного события, возникающего, когда веб-приложение IIS отправляет контент клиенту. Следовательно, цель Owowa - собрать учетные данные пользователей, которые успешно прошли аутентификацию на веб-странице OWA.
Самый последний найденный образец был обнаружен в апреле 2021 года. Однако исследователи считают, что модуль был собран за несколько месяцев до этого. Поврежденный модуль содержит дополнительную сборку, которая пуста и не используется, и класс AssemblyLoader из пространства имен Costura.
Исследователи пока не выявили никакой связи между Owowa и другими известными злоумышленниками, поскольку доступных данных о развертывании и работе вредоносного ПО по-прежнему слишком мало. Тем не менее, разработчики модуля не удалили пути PDB в некоторых проанализированных примерах. Конкретное имя пользователя «S3crt», найденное в путях, предполагает, что это может быть ссылка на наступательные инструменты Cobalt Strike и Core Impact.