おおわわマルウェア

Owowaは、MicrosoftExchangeサーバーを対象とした潜在的に危険なツールです。 2020年に特定されましたが、研究者はこれまで知られていなかったバイナリファイルを分析しました。これはIISモジュールであることが判明しました。有害なプログラムはC＃で開発されており、明らかに、資格情報を収集してリモートコマンドを有効にすることを目的としています。したがって、この新しいマルウェアの脅威は、攻撃者がExchangeサーバー内での永続性を確保することにより、標的となるネットワークに強力な足場を築くための効果的なオプションのように思われます。

これまでのところ、アジアではいくつかの侵害されたサーバーが特定されています。それらのほとんどは政府機関に属していますが、政府所有の運送会社に属するものもあります。

Owowaは、IISサーバー内のモジュールとしてロードすることを目的としています。関連するコードは、IIS固有のインターフェイスを実装するExtenderControlDesignerクラスにのみ存在するためです。具体的には、Owowaは、IIS Webアプリケーションがクライアントにコンテンツを送信するときに発生する特定のイベントをフックすることにより、HTTP要求と応答を検査するように設計されています。したがって、Owowaの目標は、OWAWebページで正常に認証されたユーザーの資格情報を収集することです。

見つかった最新のサンプルは2021年4月に検出されました。しかし、研究者はモジュールがその数か月前に組み立てられたと信じています。破損したモジュールには、空で未使用の追加のアセンブリと、Costura名前空間のAssemblyLoaderクラスが含まれています。

マルウェアの展開と操作に関する入手可能なデータがまだ不足しているため、研究者はOwowaと他の既知の脅威アクターとの間のリンクをまだ特定していません。それでも、モジュールの開発者は、分析されたサンプルの一部でPDBパスを削除していません。パスにある特定のユーザー名「S3crt」は、攻撃的なツールであるCobaltStrikeおよびCoreImpactへのリンクがある可能性があることを示しています。