Owowa rosszindulatú programot fedeztek fel a Microsoft Exchange IIS kiszolgálókon

A Microsoft Serverek 2021-ben többszörös, nagyszabású kiberbűnözés célpontjai voltak. Az egyik legújabb kampány egy rosszindulatú IIS-bővítmény telepítését foglalja magában, amely az Owowa nevű rosszindulatú programnak minősül. Az Internet Information Services (IIS) ezen rosszindulatú összetevője képes adathalász támadások végrehajtására és távoli parancsok futtatására a feltört kiszolgálón. Természetesen fontos kiemelni, hogy az Owowa Malware-t nem könnyű telepíteni a szerverekre – a bűnözőknek továbbra is meg kell találniuk a módját a rosszindulatú kiegészítők eljuttatásának, és magasabb jogosultságokkal rendelkező felhasználót kell szerezniük a futtatásához.

Az Owowa Malware először 2020-ban készült

Az egyik meglepő megállapítás az Owowa Malware-rel kapcsolatban az a tény, hogy néhány hasznos adatot először 2020-ban állítottak össze, ami azt jelenti, hogy ez a rosszindulatú program valószínűleg nagyon hosszú ideig észrevétlenül működött. Az Owowa Malware támadás hatóköre még nem tisztázott, de elképzelhető, hogy a Microsoft Exchange szerverek ezrei kerültek veszélybe a kártevő használatával.

Az egyik összetevő, amelyet ez a kártevő különösen keres, az Outlook Web Access (OWA), amely a legtöbb Microsoft Exchange kiszolgálón megtalálható. Felelős az Outlook bejelentkezési kérelmeinek kezeléséért, amely elmagyarázza, hogy a bűnözők hogyan élnének vissza a rosszindulatú implantátummal a bejelentkezési hitelesítő adatok begyűjtése érdekében.

Az Owowa rosszindulatú szoftverek üzemeltetői sajátos módszert alkalmaznak az implantátum irányítására

Az Owowa Malware távoli parancsok futtatásának módja is nagyon innovatív. A bûnözõk a feltört OWA oldal bejelentkezési oldalát használják a parancsok megadására a felhasználónév- és jelszófájlokban. Adott karakterláncok megadásával a bűnözők parancsot tudnak adni az Owowa Malware-nek, hogy:

• Az ellopott bejelentkezési adatok visszaküldése base64 kódolású formátumban.
• Törölje a feltört kiszolgálón tárolt ellopott hitelesítő adatok naplóját.
• Hajtsa végre a jelszómezőn keresztül beküldött PowerShell-parancsot.

Úgy tűnik, hogy az Owowa Malware áldozatainak jelentős része Malajziában, Mongóliában, Indonéziában és a Fülöp-szigeteken van. Valószínű azonban, hogy sok más szervezet és vállalkozás is veszélyeztette szerverét ez a támadás. A rendszergazdák naprakész víruskereső eszközökkel és megfelelő biztonsági szabályzatok alkalmazásával védhetik meg Microsoft Exchange szervereiket.