Threat Database Malware Owowa-Malware

Owowa-Malware

Owowa ist ein potenziell unsicheres Tool, das auf Microsoft Exchange-Server abzielt. Es wurde im Jahr 2020 identifiziert, als Forscher eine bisher unbekannte Binärdatei analysierten, die sich als IIS-Modul herausstellte. Das Schadprogramm wurde in C# entwickelt und zielt anscheinend darauf ab, Anmeldeinformationen zu sammeln und Remotebefehle zu aktivieren. Daher scheint diese neue Malware-Bedrohung eine effektive Option für Angreifer zu sein, um in gezielten Netzwerken Fuß zu fassen, indem sie die Persistenz auf einem Exchange-Server sicherstellen.

Bisher wurden mehrere kompromittierte Server in Asien identifiziert. Während die meisten von ihnen Regierungsorganisationen gehören, gibt es eine, die einem staatlichen Transportunternehmen gehört.

Owowa soll als Modul innerhalb eines IIS-Servers geladen werden, da sich der einzige relevante Code in der Klasse ExtenderControlDesigner befindet, die eine IIS-spezifische Schnittstelle implementiert. Insbesondere ist Owowa darauf ausgelegt, HTTP-Anforderungen und -Antworten zu überprüfen, indem ein bestimmtes Ereignis angehängt wird, das ausgelöst wird, wenn eine IIS-Webanwendung Inhalt an den Client sendet. Daher besteht das Ziel von Owowa darin, die Anmeldeinformationen von Benutzern zu sammeln, die sich erfolgreich auf der OWA-Webseite authentifiziert haben.

Die letzte gefundene Probe wurde im April 2021 entdeckt. Forscher gehen jedoch davon aus, dass das Modul mehrere Monate zuvor zusammengebaut wurde. Das beschädigte Modul enthält eine zusätzliche leere und nicht verwendete Assembly und eine AssemblyLoader-Klasse aus einem Costura-Namespace.

Forscher haben noch keine Verbindung zwischen Owowa und anderen bekannten Bedrohungsakteuren identifiziert, da die verfügbaren Daten über den Einsatz und Betrieb der Malware noch zu knapp sind. Dennoch haben die Entwickler des Moduls die PDB-Pfade in einigen der analysierten Beispiele nicht entfernt. Der in den Pfaden gefundene spezifische Benutzername „S3crt“ deutet darauf hin, dass es einen Link zu den Offensivtools Cobalt Strike und Core Impact geben könnte.

Im Trend

Am häufigsten gesehen

Wird geladen...