Owowa Malware wykryte na serwerach Microsoft Exchange IIS

Serwery Microsoft stały się celem wielu ataków cyberprzestępczych na dużą skalę w 2021 r. Jedna z najnowszych kampanii obejmuje wdrożenie złośliwego dodatku IIS, który jest klasyfikowany jako złośliwe oprogramowanie o nazwie Owowa. Ten złośliwie zaprojektowany składnik Internetowych usług informacyjnych (IIS) może przeprowadzać ataki typu phishing i uruchamiać zdalne polecenia na zaatakowanym serwerze. Oczywiście należy zaznaczyć, że złośliwe oprogramowanie Owowa nie jest łatwe do umieszczenia na serwerach – przestępcy nadal muszą znaleźć sposób na dostarczenie złośliwego dodatku i pozyskanie użytkownika z podwyższonymi uprawnieniami do jego uruchamiania.

Malware Owowa zostało po raz pierwszy skompilowane w 2020 r.

Jednym z zaskakujących ustaleń dotyczących złośliwego oprogramowania Owowa jest fakt, że niektóre ładunki zostały skompilowane po raz pierwszy w 2020 r., co oznacza, że to złośliwe oprogramowanie może działać niewykryte przez bardzo długi czas. Zakres ataku Owowa Malware nie jest jeszcze jasny, ale możliwe jest, że tysiące serwerów Microsoft Exchange mogło zostać skompromitowanych przy użyciu tego złośliwego oprogramowania.

Jednym ze składników, za którymi podąża to złośliwe oprogramowanie, jest Outlook Web Access (OWA) znajdujący się na większości serwerów Microsoft Exchange. Jest odpowiedzialny za obsługę żądań logowania do programu Outlook, co wyjaśnia, w jaki sposób przestępcy mogliby nadużywać złośliwego implantu w celu przechwycenia danych logowania.

Operatorzy złośliwego oprogramowania firmy Owowa stosują osobliwą metodę sterowania implantem

Bardzo innowacyjny jest również sposób, w jaki Owowa Malware uruchamia zdalne polecenia. Przestępcy używają strony logowania zhakowanej strony OWA w celu dostarczenia poleceń w plikach z nazwą użytkownika i hasłami. Wprowadzając określone ciągi, przestępcy mogą nakazać złośliwemu oprogramowaniu Owowa:

• Zwróć skradzione dane logowania w formacie zakodowanym w base64.
• Wyczyść dziennik skradzionych poświadczeń przechowywanych na zaatakowanym serwerze.
• Wykonaj polecenie PowerShell przesłane za pomocą pola hasła.

Wydaje się, że znaczna część ofiar Owowa Malware znajduje się w Malezji, Mongolii, Indonezji i na Filipinach. Jednak prawdopodobnie istnieje wiele innych organizacji i przedsiębiorstw, których serwery zostały naruszone w wyniku tego ataku. Administratorzy mogą chronić swoje serwery Microsoft Exchange przy użyciu nowoczesnych narzędzi antywirusowych oraz wdrażając odpowiednie polityki bezpieczeństwa.