Dosud neznámý modul IIS (software umožňující přidání dalších funkcí u webových serverů od Microsoftu), který krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA), objevila společnost Kaspersky. Škodlivý doplněk, který nazvala Owowa, umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru. Vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může v zařízení ukrývat po dlouhou dobu.
V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód. Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Zákeřné funkce tohoto modulu, kterému dala společnost Kaspersky jméno Owowa, lze snadno spustit odesláním zdánlivě neškodných požadavků – v tomto případě požadavků na ověření OWA.
Analytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.
Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy. To umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.
Výzkumníkům společnosti se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem S3crt používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.
TZ
Zdroj: IT SECURITY NETWORK NEWS