Zlonamerna programska oprema Owowa

Owowa je potencialno nevarno orodje, ki cilja na strežnike Microsoft Exchange. Identificiran je bil leta 2020, medtem ko so raziskovalci analizirali prej neznano binarno datoteko, za katero se je izkazalo, da je modul IIS. Škodljivi program je bil razvit v C# in je očitno namenjen zbiranju poverilnic in omogočanju oddaljenih ukazov. Tako se zdi, da je ta nova grožnja z zlonamerno programsko opremo učinkovita možnost za napadalce, da se močno uveljavijo v ciljnih omrežjih z zagotavljanjem obstojnosti znotraj strežnika Exchange.

Doslej je bilo v Aziji odkritih več ogroženih strežnikov. Medtem ko jih večina pripada vladnim organizacijam, obstaja ena, ki pripada transportnemu podjetju v državni lasti.

Owowa naj bi se naložila kot modul znotraj strežnika IIS, saj se edina pomembna koda nahaja v razredu ExtenderControlDesigner, ki izvaja vmesnik, specifičen za IIS. Natančneje, Owowa je zasnovana za pregledovanje zahtev in odgovorov HTTP s priklopom določenega dogodka, ki se pojavi, ko spletna aplikacija IIS odjemalcu pošlje vsebino. Zato je cilj družbe Owowa zbrati poverilnice uporabnikov, ki so se uspešno overili na spletni strani OWA.

Najnovejši najdeni vzorec je bil odkrit aprila 2021. Raziskovalci pa menijo, da je bil modul sestavljen nekaj mesecev pred tem. Poškodovani modul vsebuje dodaten sestav, ki je prazen in neuporabljen, in razred AssemblyLoader iz imenskega prostora Costura.

Raziskovalci še niso ugotovili nobene povezave med Owowa in drugimi znanimi akterji grožnje, ker so razpoložljivi podatki o uvajanju in delovanju zlonamerne programske opreme še vedno premajhni. Vendar pa razvijalci modula niso odstranili poti PDB v nekaterih analiziranih vzorcih. Posebno uporabniško ime »S3crt«, ki ga najdemo v poteh, nakazuje, da bi lahko obstajala povezava do žaljivih orodij Cobalt Strike in Core Impact.