Microsoft ExchangeIISサーバーで発見されたOwowaマルウェア
Microsoftサーバーは、2021年に複数の大規模なサイバー犯罪攻撃の標的になりました。最新のキャンペーンの1つは、Owowaと呼ばれるマルウェアとして分類される悪意のあるIISアドオンの展開を含みます。この悪意を持って設計されたインターネットインフォメーションサービス(IIS)のコンポーネントは、フィッシング攻撃を実行し、侵入先のサーバーでリモートコマンドを実行する可能性があります。もちろん、Owowaマルウェアをサーバーに植え付けるのは簡単ではないことを含めることが重要です。犯罪者は、悪意のあるアドオンを配信する方法を見つけ、それを実行するための昇格された権限を持つユーザーを取得する必要があります。
Owowaマルウェアは2020年に最初にコンパイルされました
Owowaマルウェアに関する驚くべき発見の1つは、一部のペイロードが2020年に最初にコンパイルされたという事実です。これは、このマルウェアが非常に長い間検出されずに機能した可能性があることを意味します。 Owowaマルウェア攻撃の範囲はまだ明確ではありませんが、このマルウェアの使用により、何千ものMicrosoftExchangeサーバーが侵害された可能性があります。
このマルウェアが特に追いかけるコンポーネントの1つは、ほとんどのMicrosoftExchangeサーバーにあるOutlookWeb Access(OWA)です。 Outlookのログイン要求を処理する責任があり、ログイン資格情報を取得するために犯罪者が悪意のあるインプラントを悪用する方法を説明します。
Owowaマルウェアオペレーターは、独特の方法を使用してインプラントを指揮します
Owowaマルウェアがリモートコマンドを実行する方法も非常に革新的です。犯罪者は、ユーザー名とパスワードのファイルにコマンドを提供するために、侵害されたOWAページのログインページを使用します。特定の文字列を入力することにより、犯罪者はOwowaマルウェアに次のように命令することができます。
- 盗まれたログイン資格情報をbase64でエンコードされた形式で返します。
- 侵害されたサーバーに保存されている盗まれた資格情報のログをクリアします。
- パスワードフィールドを介して送信されたPowerShellコマンドを実行します。
Owowa Malwareの被害者の大部分は、マレーシア、モンゴル、インドネシア、フィリピンにいるようです。ただし、この攻撃によってサーバーが侵害された組織や企業は他にもたくさんある可能性があります。管理者は、最新のウイルス対策ツールを使用し、適切なセキュリティポリシーを実装することで、MicrosoftExchangeサーバーを保護できます。