„Owowa“ kenkėjiška programa aptikta „Microsoft Exchange IIS“ serveriuose

2021 m. „Microsoft“ serveriai buvo daugelio didelio masto kibernetinių nusikaltimų atakų taikinys. Viena iš naujausių kampanijų apima kenkėjiško IIS priedo, kuris klasifikuojamas kaip kenkėjiška programa „Owowa“, diegimą. Šis kenkėjiškai sukurtas interneto informacijos paslaugų (IIS) komponentas gali vykdyti sukčiavimo atakas ir paleisti nuotolines komandas pažeistame serveryje. Žinoma, svarbu paminėti, kad „Owowa“ kenkėjišką programą nėra lengva įdiegti serveriuose – nusikaltėliams vis tiek reikia rasti būdą, kaip pristatyti kenkėjišką priedą, ir gauti vartotoją, turintį padidintus leidimus jį paleisti.

„Owowa“ kenkėjiška programa pirmą kartą buvo sudaryta 2020 m

Vienas iš stebinančių išvadų apie „Owowa“ kenkėjišką programą yra tai, kad kai kurios naudingosios apkrovos pirmą kartą buvo sudarytos 2020 m., o tai reiškia, kad ši kenkėjiška programa galėjo veikė nepastebėta labai ilgą laiką. „Owowa“ kenkėjiškų programų atakos apimtis kol kas neaiški, tačiau gali būti, kad naudojant šią kenkėjišką programą galėjo būti pažeisti tūkstančiai „Microsoft Exchange“ serverių.

Vienas iš komponentų, kurį ypač naudoja ši kenkėjiška programa, yra „Outlook Web Access“ (OWA), randama daugumoje „Microsoft Exchange“ serverių. Ji yra atsakinga už prisijungimo prie „Outlook“ užklausų tvarkymą, kuri paaiškina, kaip nusikaltėliai piktnaudžiauja kenkėjišku implantu, kad gautų prisijungimo duomenis.

„Owowa“ kenkėjiškų programų operatoriai naudoja savotišką metodą, kad valdytų implantą

Taip pat labai novatoriškas būdas, kuriuo „Owowa“ kenkėjiška programa paleidžia nuotolines komandas. Nusikaltėliai naudojasi pažeisto OWA puslapio prisijungimo puslapiu, kad pateiktų komandas vartotojo vardo ir slaptažodžio failuose. Įvesdami konkrečias eilutes, nusikaltėliai gali įsakyti Owowa kenkėjiškajai programai:

• Grąžinkite pavogtus prisijungimo duomenis base64 koduotu formatu.
• Išvalykite pavogtų kredencialų, saugomų pažeistame serveryje, žurnalą.
• Vykdykite PowerShell komandą, pateiktą slaptažodžio lauke.

Atrodo, kad didžioji dalis Owowa kenkėjiškų programų aukų yra Malaizijoje, Mongolijoje, Indonezijoje ir Filipinuose. Tačiau tikėtina, kad yra daug kitų organizacijų ir įmonių, kurių serveriai buvo pažeisti dėl šios atakos. Administratoriai gali apsaugoti savo „Microsoft Exchange“ serverius naudodami naujausius antivirusinius įrankius ir įgyvendindami tinkamą saugos politiką.