Malware Owowa

Owowa est un outil potentiellement dangereux ciblant les serveurs Microsoft Exchange. Il a été identifié en 2020, tandis que les chercheurs ont analysé un fichier binaire auparavant inconnu, qui s'est avéré être un module IIS. Le programme nuisible a été développé en C# et, apparemment, il vise à collecter des informations d'identification et à activer des commandes à distance. Ainsi, cette nouvelle menace de malware semble être une option efficace pour les attaquants pour s'implanter solidement dans les réseaux ciblés en assurant la persistance au sein d'un serveur Exchange.

Jusqu'à présent, plusieurs serveurs compromis ont été identifiés en Asie. Alors que la plupart d'entre eux appartiennent à des organisations gouvernementales, il y en a un qui appartient à une entreprise de transport appartenant au gouvernement.

Owowa est destiné à être chargé en tant que module dans un serveur IIS, car le seul code pertinent se trouve dans la classe ExtenderControlDesigner, qui implémente une interface spécifique à IIS. Plus précisément, Owowa est conçu pour inspecter les demandes et les réponses HTTP en accrochant un événement particulier déclenché lorsqu'une application Web IIS envoie du contenu au client. Par conséquent, l'objectif d'Owowa est de collecter les informations d'identification des utilisateurs qui se sont authentifiés avec succès sur la page Web OWA.

L'échantillon le plus récent trouvé a été détecté en avril 2021. Cependant, les chercheurs pensent que le module a été assemblé plusieurs mois avant cela. Le module corrompu contient un assembly supplémentaire qui est vide et inutilisé et une classe AssemblyLoader d'un espace de noms Costura.

Les chercheurs n'ont encore identifié aucun lien entre Owowa et tout autre acteur de menace connu, car les données disponibles sur le déploiement et le fonctionnement du malware sont encore trop rares. Pourtant, les développeurs du module n'ont pas supprimé les chemins PDB dans certains des échantillons analysés. Le nom d'utilisateur spécifique "S3crt" trouvé dans les chemins suggère qu'il pourrait y avoir un lien vers les outils offensifs Cobalt Strike et Core Impact.