Owowa skadlig programvara

Owowa är ett potentiellt osäkert verktyg som riktar sig till Microsoft Exchange-servrar. Den identifierades 2020, medan forskare analyserade en tidigare okänd binär fil, som visade sig vara en IIS-modul. Det skadliga programmet har utvecklats i C# och uppenbarligen syftar det till att samla in referenser och möjliggöra fjärrkommandon. Således verkar detta nya skadliga hot som ett effektivt alternativ för angripare att få ett starkt fotfäste i riktade nätverk genom att säkerställa uthållighet inom en Exchange-server.

Hittills har flera komprometterade servrar identifierats i Asien. Medan de flesta av dem tillhör statliga organisationer, finns det en som tillhör ett statligt ägt transportföretag.

Owowa är tänkt att laddas som en modul i en IIS-server, eftersom den enda relevanta koden finns i klassen ExtenderControlDesigner, som implementerar ett IIS-specifikt gränssnitt. Specifikt är Owowa utformad för att inspektera HTTP-förfrågningar och svar genom att koppla en viss händelse som uppstår när en IIS-webbapplikation skickar innehåll till klienten. Därför är Owowas mål att samla in autentiseringsuppgifterna för användare som framgångsrikt har autentiserats på OWA-webbsidan.

Det senaste provet som hittades upptäcktes i april 2021. Men forskare tror att modulen monterades flera månader innan dess. Den skadade modulen innehåller en extra assembly som är tom och oanvänd och en AssemblyLoader-klass från ett Costura-namnområde.

Forskare har ännu inte identifierat någon koppling mellan Owowa och några andra kända hotaktörer, eftersom tillgängliga data om skadlig programvaras utplacering och drift fortfarande är för knapphändig. Ändå har modulens utvecklare inte tagit bort PDB-vägarna i några av de analyserade proverna. Det specifika användarnamnet "S3crt" som finns i sökvägarna antyder att det kan finnas en länk till de offensiva verktygen Cobalt Strike och Core Impact.