Обнаружено вредоносное ПО Owowa на серверах IIS Microsoft Exchange

В 2021 году серверы Microsoft стали объектом многочисленных крупномасштабных киберпреступлений. Одна из последних кампаний включает развертывание вредоносного надстройки IIS, которое классифицируется как вредоносное ПО под названием Owowa. Этот злонамеренно разработанный компонент Internet Information Services (IIS) может выполнять фишинговые атаки и выполнять удаленные команды на взломанном сервере. Конечно, важно отметить, что вредоносное ПО Owowa непросто разместить на серверах - преступникам все еще нужно найти способ доставить вредоносное дополнение и получить пользователя с повышенными разрешениями для его запуска.

Вредоносное ПО Owowa было впервые скомпилировано в 2020 году

Одним из удивительных открытий, касающихся Owowa Malware, является тот факт, что некоторые полезные нагрузки были впервые скомпилированы в 2020 году, а это означает, что это вредоносное ПО могло работать незамеченным в течение очень длительного периода времени. Масштабы атаки Owowa Malware пока не ясны, но вполне возможно, что тысячи серверов Microsoft Exchange могли быть скомпрометированы с использованием этого вредоносного ПО.

Одним из компонентов, которым занимается эта вредоносная программа, в частности, является Outlook Web Access (OWA), установленный на большинстве серверов Microsoft Exchange. Он отвечает за обработку запросов на вход в Outlook, в которых объясняется, как злоумышленники могут использовать вредоносный имплант для сбора учетных данных.

Операторы вредоносного ПО Owowa используют особый метод управления имплантатом

Способ, которым Owowa Malware запускает удаленные команды, также очень новаторский. Преступники используют страницу входа на взломанную страницу OWA, чтобы предоставить команды в файлах имени пользователя и пароля. Вводя определенные строки, преступники могут дать команду Owowa Malware:

• Вернуть украденные учетные данные для входа в формате с кодировкой base64.
• Очистите журнал украденных учетных данных, хранящийся на взломанном сервере.
• Выполните команду PowerShell, отправленную через поле пароля.

Основная часть жертв Owowa Malware находится в Малайзии, Монголии, Индонезии и на Филиппинах. Однако вполне вероятно, что есть много других организаций и предприятий, серверы которых были скомпрометированы этой атакой. Администраторы могут защитить свои серверы Microsoft Exchange с помощью современных антивирусных инструментов и реализации надлежащих политик безопасности.