Owowa 惡意軟件

Owowa 是一種針對 Microsoft Exchange 服務器的潛在不安全工具。它在 2020 年被發現，而研究人員分析了一個以前未知的二進製文件，結果證明它是一個 IIS 模塊。這個有害程序是用 C# 開發的，顯然它的目的是收集憑據和啟用遠程命令。因此，這種新的惡意軟件威脅似乎是攻擊者通過確保 Exchange 服務器內的持久性在目標網絡中獲得穩固立足點的有效選擇。

到目前為止，已經在亞洲發現了幾台受感染的服務器。雖然其中大多數屬於政府組織，但也有一個屬於政府所有的運輸公司。

Owowa 旨在作為 IIS 服務器內的模塊加載，因為唯一相關的代碼位於 ExtenderControlDesigner 類中，該類實現了特定於 IIS 的接口。具體而言，Owowa 旨在通過掛鉤 IIS Web 應用程序向客戶端發送內容時引發的特定事件來檢查 HTTP 請求和響應。因此，Owowa 的目標是收集在 OWA 網頁上成功通過身份驗證的用戶的憑據。

最近發現的樣本是在 2021 年 4 月檢測到的。然而，研究人員認為該模塊是在此之前幾個月組裝的。損壞的模塊包含一個額外的未使用的程序集和一個來自 Costura 命名空間的 AssemblyLoader 類。

研究人員尚未確定 Owowa 與任何其他已知威脅行為者之間的任何联系，因為有關惡意軟件部署和操作的可用數據仍然太少。然而，該模塊的開發人員並未刪除某些分析樣本中的 PDB 路徑。在路徑中找到的特定用戶名“S3crt”表明可能存在指向攻擊性工具 Cobalt Strike 和 Core Impact 的鏈接。