Ανακαλύφθηκε κακόβουλο λογισμικό Owowa στους διακομιστές IIS του Microsoft Exchange

Οι διακομιστές της Microsoft έχουν γίνει στόχος πολλαπλών, μεγάλης κλίμακας επιθέσεων κυβερνοεγκλήματος το 2021. Μία από τις τελευταίες καμπάνιες περιλαμβάνει την ανάπτυξη ενός κακόβουλου πρόσθετου IIS, το οποίο ταξινομείται ως κακόβουλο λογισμικό που ονομάζεται Owowa. Αυτό το κακόβουλα σχεδιασμένο στοιχείο των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) είναι σε θέση να εκτελεί επιθέσεις phishing και να εκτελεί απομακρυσμένες εντολές στον παραβιασμένο διακομιστή. Φυσικά, είναι σημαντικό να συμπεριλάβουμε ότι το κακόβουλο λογισμικό Owowa δεν είναι εύκολο να εγκατασταθεί σε διακομιστές – οι εγκληματίες πρέπει ακόμα να βρουν έναν τρόπο να παραδώσουν το κακόβουλο πρόσθετο και να πάρουν έναν χρήστη με αυξημένα δικαιώματα για να το εκτελέσει.

Το Owowa Malware δημιουργήθηκε για πρώτη φορά το 2020

Ένα από τα εκπληκτικά ευρήματα σχετικά με το κακόβουλο λογισμικό Owowa είναι το γεγονός ότι ορισμένα από τα ωφέλιμα φορτία συγκεντρώθηκαν για πρώτη φορά το 2020, πράγμα που σημαίνει ότι αυτό το κακόβουλο λογισμικό μπορεί να λειτουργούσε απαρατήρητο για πολύ μεγάλο χρονικό διάστημα. Το εύρος της επίθεσης Owowa Malware δεν είναι ακόμη σαφές, αλλά είναι πιθανό χιλιάδες διακομιστές του Microsoft Exchange να έχουν παραβιαστεί με τη χρήση αυτού του κακόβουλου λογισμικού.

Ένα από τα στοιχεία που αναζητά αυτό το κακόβουλο λογισμικό είναι το Outlook Web Access (OWA) που βρίσκεται στους περισσότερους διακομιστές του Microsoft Exchange. Είναι υπεύθυνο για το χειρισμό των αιτημάτων σύνδεσης για το Outlook, το οποίο εξηγεί πώς οι εγκληματίες θα έκαναν κατάχρηση του κακόβουλου εμφυτεύματος προκειμένου να συλλέξουν τα διαπιστευτήρια σύνδεσης.

Οι χειριστές κακόβουλου λογισμικού της Owowa χρησιμοποιούν μια περίεργη μέθοδο για να δώσουν εντολή στο εμφύτευμα

Ο τρόπος με τον οποίο το Owowa Malware εκτελεί απομακρυσμένες εντολές είναι επίσης πολύ καινοτόμος. Οι εγκληματίες χρησιμοποιούν τη σελίδα σύνδεσης της παραβιασμένης σελίδας OWA για να παρέχουν τις εντολές στα αρχεία ονόματος χρήστη και κωδικού πρόσβασης. Εισάγοντας συγκεκριμένες συμβολοσειρές, οι εγκληματίες μπορούν να δώσουν εντολή στο κακόβουλο λογισμικό Owowa να:

• Επιστρέψτε κλεμμένα διαπιστευτήρια σύνδεσης σε μορφή κωδικοποιημένης βάσης 64.
• Διαγράψτε το αρχείο καταγραφής των κλεμμένων διαπιστευτηρίων που είναι αποθηκευμένα στον παραβιασμένο διακομιστή.
• Εκτελέστε μια εντολή PowerShell που υποβάλλεται μέσω του πεδίου κωδικού πρόσβασης.

Ένα σημαντικό κλάσμα των θυμάτων του Owowa Malware φαίνεται να βρίσκεται στη Μαλαισία, τη Μογγολία, την Ινδονησία και τις Φιλιππίνες. Ωστόσο, είναι πιθανό ότι υπάρχουν πολλοί άλλοι οργανισμοί και επιχειρήσεις που έχουν παραβιάσει τους διακομιστές τους από αυτήν την επίθεση. Οι διαχειριστές μπορούν να προστατεύσουν τους διακομιστές Microsoft Exchange με τη χρήση ενημερωμένων εργαλείων προστασίας από ιούς και την εφαρμογή κατάλληλων πολιτικών ασφαλείας.