Owowa Malware oppdaget på Microsoft Exchange IIS-servere

Microsoft-servere har vært målet for flere, storskala cyberkriminalitetsangrep i 2021. En av de siste kampanjene involverer distribusjon av et ondsinnet IIS-tillegg, som er klassifisert som skadelig programvare kalt Owowa. Denne skadelig utformede komponenten av Internet Information Services (IIS) er i stand til å utføre phishing-angrep og kjøre eksterne kommandoer på den kompromitterte serveren. Selvfølgelig er det viktig å inkludere at Owowa Malware ikke er lett å plante på servere – kriminelle må fortsatt finne en måte å levere det ondsinnede tillegget på, og få en bruker med økte tillatelser til å kjøre den.

Owowa Malware ble først kompilert i 2020

Et av de overraskende funnene om Owowa Malware er det faktum at noen av nyttelastene først ble kompilert i 2020, noe som betyr at denne malware kanskje fungerte uoppdaget i en veldig lang periode. Omfanget av Owowa Malware-angrepet er ikke klart ennå, men det er mulig at tusenvis av Microsoft Exchange-servere kan ha blitt kompromittert med bruken av denne skadelige programvaren.

En av komponentene som denne skadevare går etter spesielt er Outlook Web Access (OWA) som finnes på de fleste Microsoft Exchange-servere. Den er ansvarlig for å håndtere påloggingsforespørsler for Outlook, som forklarer hvordan kriminelle ville misbruke det ondsinnede implantatet for å hente inn påloggingsinformasjon.

Owowa Malware-operatører bruker en særegen metode for å styre implantatet

Måten Owowa Malware kjører eksterne kommandoer på er også veldig nyskapende. De kriminelle bruker påloggingssiden til den kompromitterte OWA-siden for å gi kommandoene i brukernavn- og passordfilene. Ved å legge inn spesifikke strenger, kan de kriminelle kommandere Owowa Malware til å:

  • Returner stjålne påloggingsinformasjon i et base64-kodet format.
  • Tøm loggen for stjålne legitimasjon som er lagret på den kompromitterte serveren.
  • Utfør en PowerShell-kommando sendt via passordfeltet.

En stor del av ofrene til Owowa Malware ser ut til å være i Malaysia, Mongolia, Indonesia og Filippinene. Imidlertid er det sannsynlig at det er mange andre organisasjoner og bedrifter som har fått serverne sine kompromittert av dette angrepet. Administratorer kan beskytte sine Microsoft Exchange-servere med bruk av oppdaterte antivirusverktøy og implementere riktige sikkerhetspolicyer.

Innen Ruik
December 16, 2021
Malware
Norsk
December 16, 2021
Malware

Populære innlegg

Microsoft advarer statsstøttede trusselaktører bruker AI i angrep

4 days siden

Trojan Al11 Malware Deteksjon

11 months siden

Pinaview er en Adware-app med alle funksjoner

10 months siden

Popup-vinduer "Din iCloud blir hacket" og "Din iPhone har...

7 months siden

Hva er Lucky Ransomware?

7 months siden

«American Express – Oppdater kontoinformasjonen din»...

6 months siden
Norsk
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hjem

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files Spørsmål og svar Downloads Inquiries & Support

Selskap

About Us Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Personvern Cookie-policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemerke for Microsoft, registrert i USA og andre land.
Mac, iPhone, iPad og App Store er varemerker for Apple Inc., registrert i USA og andre land.
iOS er et registrert varemerke for Cisco Systems, Inc. og/eller dets tilknyttede selskaper i USA og visse andre land.
Android og Google Play er varemerker for Google LLC.