Los actores malintencionados están implementando un binario no descubierto hasta ahora, un módulo de servidor web de Internet Information Services (IIS) llamado «Owowa, «en los servidores de Microsoft Exchange Outlook Web Access para robar credenciales y permitir la ejecución remota de comandos.

«Owowa es una compilación .NET v4.0 desarrollada en C # que está diseñada para cargarse como un módulo dentro del servidor web IIS que también hace que Exchange Outlook Web Access (OWA) sea accesible», dijeron los investigadores de Kaspersky Paul Rascagneres y Pierre Delcher. «Cuando se carga de esta manera, Owowa roba las credenciales que cualquier usuario ingresa en la página de inicio de sesión de OWA y permite que el operador remoto ejecute comandos en el servidor subyacente».

La idea de que se pueda crear un módulo IIS falso como puerta trasera no es nueva. En agosto de 2021, un estudio exhaustivo del entorno de amenazas IIS de la empresa de seguridad cibernética eslovaca de ESET reveló hasta 14 familias de malware que se desarrollaron como módulos nativos de IIS en un esfuerzo por interceptar el tráfico HTTP y controlar de forma remota las computadoras comprometidas.

Como parte permanente del sistema comprometido, Owawa está diseñado para capturar las credenciales de los usuarios que se autentican con éxito en el sitio web de autenticación de OWA. El abuso se puede lograr enviando «solicitudes aparentemente inocuas» a los servicios web descubiertos ingresando comandos específicamente creados en los campos de nombre de usuario y contraseña en la página de verificación OWA del servidor comprometido.

Específicamente, si el nombre de usuario de OWA es «jFuLIXpzRdateYHoVwMlfc», Owawa responde con credenciales encriptadas. Por el contrario, si el nombre de usuario es «dEUM3jZXaDiob8BrqSy2PQO1», se ejecuta el comando de PowerShell ingresado en el campo de contraseña OWA y los resultados se envían al atacante.

La firma de seguridad rusa dijo que había revelado un grupo de objetivos con servidores comprometidos ubicados en Malasia, Mongolia, Indonesia y Filipinas, que pertenecen principalmente a organizaciones gubernamentales, con la excepción de un servidor que está conectado a una empresa de transporte del gobierno. Esto significa que se considera que otras organizaciones en Europa han sido víctimas del actor.

Aunque no se encontraron vínculos entre los operadores de Owow y otros grupos de piratas informáticos documentados públicamente, el nombre de usuario «S3crt» (lea «secreto»), que se encontró incrustado en el código fuente de las muestras identificadas, proporcionó ejecutables de malware adicionales que probablemente funcionarían. el mismo desarrollador. El principal es una serie de binarios diseñados para ejecutar código shell integrado, cargar la siguiente fase de malware cargado desde un servidor remoto y ejecutar datos de Cobalt Strike.

El equipo de análisis e investigación global de Kaspersky (GReAT) también dijo que había identificado una cuenta con el mismo nombre de usuario en Keybase, donde el individuo compartía herramientas ofensivas como Cobalt Strike y Core Impact, además de mostrar interés en RAIDForums.

«Los módulos IIS no son un formato de puerta trasera común, especialmente en comparación con las amenazas típicas de las aplicaciones web, como los shells web, y, por lo tanto, pueden pasarse por alto fácilmente en el monitoreo de archivos estándar», dijeron Rascagneres y Delcher. «Módulo malicioso […] es una forma eficaz para que los atacantes obtengan un fuerte apoyo en las redes específicas permaneciendo en Exchange «.