在 Microsoft Exchange IIS 服務器上發現 Owowa 惡意軟件

Microsoft 服務器已成為 2021 年多次大規模網絡犯罪攻擊的目標。最新的活動之一涉及部署惡意 IIS 附加組件，該附加組件被歸類為名為 Owowa 的惡意軟件。這個惡意設計的 Internet 信息服務 (IIS) 組件能夠執行網絡釣魚攻擊，並在受感染的服務器上運行遠程命令。當然，重要的是要包括 Owowa 惡意軟件不容易植入服務器 - 犯罪分子仍然需要找到一種方法來傳遞惡意插件，並讓具有更高權限的用戶運行它。

Owowa 惡意軟件於 2020 年首次編譯

關於 Owowa 惡意軟件的令人驚訝的發現之一是，其中一些有效載荷於 2020 年首次編譯，這意味著該惡意軟件可能在很長一段時間內都未被發現。 Owowa 惡意軟件攻擊的範圍尚不清楚，但有可能成千上萬的 Microsoft Exchange 服務器因使用此惡意軟件而受到損害。

該惡意軟件特別關注的組件之一是大多數 Microsoft Exchange 服務器上的 Outlook Web Access (OWA)。它負責處理 Outlook 的登錄請求，這解釋了犯罪分子如何濫用惡意植入程序以獲取登錄憑據。

Owowa 惡意軟件運營商使用一種特殊的方法來控制植入物

Owowa 惡意軟件運行遠程命令的方式也很有創意。犯罪分子使用受感染 OWA 頁面的登錄頁面來提供用戶名和密碼文件中的命令。通過輸入特定的字符串，犯罪分子能夠命令 Owowa 惡意軟件：

• 以 base64 編碼格式返回被盜的登錄憑據。
• 清除存儲在受感染服務器上的被盜憑據日誌。
• 執行通過密碼字段提交的 PowerShell 命令。

Owowa 惡意軟件的大部分受害者似乎位於馬來西亞、蒙古、印度尼西亞和菲律賓。但是，很可能還有許多其他組織和企業的服務器受到了這種攻擊。管理員可以使用最新的防病毒工具並實施適當的安全策略來保護他們的 Microsoft Exchange 服務器。