Kötü Amaçlı Yazılım

Owowa, Microsoft Exchange sunucularını hedefleyen, potansiyel olarak güvenli olmayan bir araçtır. 2020'de, araştırmacılar daha önce bilinmeyen bir ikili dosyayı analiz ederken, IIS modülü olduğu ortaya çıktı. Zararlı program C#'da geliştirildi ve görünüşe göre kimlik bilgilerini toplamayı ve uzaktan komutları etkinleştirmeyi hedefliyor. Bu nedenle, bu yeni kötü amaçlı yazılım tehdidi, bir Exchange sunucusunda kalıcılık sağlayarak saldırganların hedeflenen ağlarda güçlü bir yer edinmeleri için etkili bir seçenek gibi görünüyor.

Şimdiye kadar, Asya'da güvenliği ihlal edilmiş birkaç sunucu tespit edildi. Bunların çoğu devlet kurumlarına ait olmakla birlikte, devlete ait bir nakliye şirketine ait olan bir tane var.

İlgili tek kod, IIS'ye özel bir arabirim uygulayan ExtenderControlDesigner sınıfında bulunduğundan, Owowa'nın bir IIS sunucusu içinde bir modül olarak yüklenmesi amaçlanmıştır. Owowa, özellikle, bir IIS Web uygulaması istemciye içerik gönderdiğinde ortaya çıkan belirli bir olayı bağlayarak HTTP isteklerini ve yanıtlarını incelemek için tasarlanmıştır. Bu nedenle, Owowa'nın amacı, OWA Web sayfasında başarılı bir şekilde kimlik doğrulaması yapan kullanıcıların kimlik bilgilerini toplamaktır.

Bulunan en son örnek Nisan 2021'de tespit edildi. Ancak araştırmacılar, modülün bundan birkaç ay önce monte edildiğine inanıyor. Bozuk modül, boş ve kullanılmayan ek bir derleme ve Costura ad alanından bir AssemblyLoader sınıfı içerir.

Araştırmacılar, Owowa ile bilinen diğer tehdit aktörleri arasında henüz bir bağlantı tespit edemedi, çünkü kötü amaçlı yazılımın dağıtımı ve çalışmasıyla ilgili mevcut veriler hala çok az. Yine de, modülün geliştiricileri, analiz edilen örneklerin bazılarında PDB yollarını kaldırmamıştır. Yollarda bulunan "S3crt" özel kullanıcı adı, saldırgan araçlar olan Cobalt Strike ve Core Impact'e bir bağlantı olabileceğini gösteriyor.