Owowa Malware opdaget på Microsoft Exchange IIS-servere
Microsoft-servere har været mål for adskillige, storstilede cyberkriminalitetsangreb i 2021. En af de seneste kampagner involverer implementeringen af en ondsindet IIS-tilføjelse, som er klassificeret som malware kaldet Owowa. Denne skadeligt designede komponent af Internet Information Services (IIS) er i stand til at udføre phishing-angreb og køre fjernkommandoer på den kompromitterede server. Det er selvfølgelig vigtigt at medtage, at Owowa Malware ikke er let at plante på servere – kriminelle skal stadig finde en måde at levere den ondsindede tilføjelse på og få en bruger med forhøjede tilladelser til at køre den.
Owowa Malware blev først kompileret i 2020
Et af de overraskende fund om Owowa Malware er det faktum, at nogle af nyttelasterne først blev kompileret i 2020, hvilket betyder, at denne malware muligvis fungerede uopdaget i meget lang tid. Omfanget af Owowa Malware-angrebet er ikke klart endnu, men det er muligt, at tusindvis af Microsoft Exchange-servere kan være blevet kompromitteret med brugen af denne malware.
En af de komponenter, som denne malware især går efter, er Outlook Web Access (OWA), der findes på de fleste Microsoft Exchange-servere. Den er ansvarlig for at håndtere login-anmodninger til Outlook, som forklarer, hvordan de kriminelle ville misbruge det ondsindede implantat for at høste login-legitimationsoplysninger.
Owowa Malware-operatører bruger en ejendommelig metode til at styre implantatet
Den måde, hvorpå Owowa Malware kører fjernkommandoer, er også meget innovativ. De kriminelle bruger login-siden på den kompromitterede OWA-side for at give kommandoerne i brugernavn- og adgangskodefilerne. Ved at indtaste specifikke strenge er de kriminelle i stand til at kommandere Owowa Malware til at:
- Returner stjålne loginoplysninger i et base64-kodet format.
- Ryd loggen for stjålne legitimationsoplysninger, der er gemt på den kompromitterede server.
- Udfør en PowerShell-kommando sendt via adgangskodefeltet.
En stor del af Owowa Malwares ofre ser ud til at være i Malaysia, Mongoliet, Indonesien og Filippinerne. Det er dog sandsynligt, at der er mange andre organisationer og virksomheder, der har fået deres servere kompromitteret af dette angreb. Administratorer kan beskytte deres Microsoft Exchange-servere med brug af opdaterede antivirusværktøjer og implementering af korrekte sikkerhedspolitikker.