在 Microsoft Exchange IIS 服务器上发现 Owowa 恶意软件
Microsoft 服务器已成为 2021 年多次大规模网络犯罪攻击的目标。最新的活动之一涉及部署恶意 IIS 附加组件,该附加组件被归类为名为 Owowa 的恶意软件。这个恶意设计的 Internet 信息服务 (IIS) 组件能够执行网络钓鱼攻击,并在受感染的服务器上运行远程命令。当然,重要的是要包括 Owowa 恶意软件不容易植入服务器 - 犯罪分子仍然需要找到一种方法来传递恶意插件,并让具有更高权限的用户运行它。
Owowa 恶意软件于 2020 年首次编译
关于 Owowa 恶意软件的令人惊讶的发现之一是,其中一些有效载荷于 2020 年首次编译,这意味着该恶意软件可能在很长一段时间内都未被发现。 Owowa 恶意软件攻击的范围尚不清楚,但有可能成千上万的 Microsoft Exchange 服务器因使用此恶意软件而受到损害。
该恶意软件特别关注的组件之一是大多数 Microsoft Exchange 服务器上的 Outlook Web Access (OWA)。它负责处理 Outlook 的登录请求,这解释了犯罪分子如何滥用恶意植入程序以获取登录凭据。
Owowa 恶意软件运营商使用一种特殊的方法来控制植入物
Owowa 恶意软件运行远程命令的方式也很有创意。犯罪分子使用受感染 OWA 页面的登录页面来提供用户名和密码文件中的命令。通过输入特定的字符串,犯罪分子能够命令 Owowa 恶意软件:
- 以 base64 编码格式返回被盗的登录凭据。
- 清除存储在受感染服务器上的被盗凭据日志。
- 执行通过密码字段提交的 PowerShell 命令。
Owowa 恶意软件的大部分受害者似乎位于马来西亚、蒙古、印度尼西亚和菲律宾。但是,很可能还有许多其他组织和企业的服务器受到了这种攻击。管理员可以使用最新的防病毒工具并实施适当的安全策略来保护他们的 Microsoft Exchange 服务器。