Owowa 恶意软件
Owowa 是一种针对 Microsoft Exchange 服务器的潜在不安全工具。它在 2020 年被发现,而研究人员分析了一个以前未知的二进制文件,结果证明它是一个 IIS 模块。这个有害程序是用 C# 开发的,显然它的目的是收集凭据和启用远程命令。因此,这种新的恶意软件威胁似乎是攻击者通过确保 Exchange 服务器内的持久性在目标网络中获得稳固立足点的有效选择。
到目前为止,已经在亚洲发现了几台受感染的服务器。虽然其中大多数属于政府组织,但也有一个属于政府所有的运输公司。
Owowa 旨在作为 IIS 服务器内的模块加载,因为唯一相关的代码位于 ExtenderControlDesigner 类中,该类实现了特定于 IIS 的接口。具体而言,Owowa 旨在通过挂钩 IIS Web 应用程序向客户端发送内容时引发的特定事件来检查 HTTP 请求和响应。因此,Owowa 的目标是收集在 OWA 网页上成功通过身份验证的用户的凭据。
最近发现的样本是在 2021 年 4 月检测到的。然而,研究人员认为该模块是在此之前几个月组装的。损坏的模块包含一个额外的未使用的程序集和一个来自 Costura 命名空间的 AssemblyLoader 类。
研究人员尚未确定 Owowa 与任何其他已知威胁行为者之间的任何联系,因为有关恶意软件部署和操作的可用数据仍然太少。然而,该模块的开发人员并未删除某些分析样本中的 PDB 路径。在路径中找到的特定用户名“S3crt”表明可能存在指向攻击性工具 Cobalt Strike 和 Core Impact 的链接。
