V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód. Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Zákeřné funkce tohoto modulu, kterému dala společnost Kaspersky jméno Owowa, lze snadno spustit odesláním zdánlivě neškodných požadavků – v tomto případě požadavků na ověření OWA.
#Owowa: the add-on that turns your Exchange's Outlook Web Access into a credential stealer and remote access panel.
— Eugene Kaspersky (@e_kaspersky) December 14, 2021
+ a few useful attribution tips
Details 👉 https://t.co/zwt6LNcEEr pic.twitter.com/Xr2R8Tedro
Analytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.
Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy. To umožní útočníkům usadit se uvnitř serveru Exchange, a získat tak pevný opěrný bod v napadených sítích.
Výzkumníkům společnosti Kaspersky se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem „S3crt“ používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči. Slovo „S3crt“ je ale jednoduchou odvozeninou z anglického slova „secret“ a mohlo by ho klidně používat více osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.
„Nebezpečnost modulu Owowa spočívá zejména v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. Je to mnohem skrytější způsob získání vzdáleného přístupu než rozesílání phishingových e-mailů. K odhalení takových hrozeb lze sice využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže bezpečnostní nástroje mohou Owowa snadno přehlédnout,“ vysvětluje Pierre Delcher, bezpečnostní expert z týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.
„Owowa je modulem IIS, což také znamená, že zůstává přítomný v systému, i když je Microsoft Exchange Server aktualizován. Naštěstí se zdá, že si útočníci nepočínají příliš rafinovaně. Firmy by měly servery Exchange pečlivě sledovat, protože jsou pro jejich fungování mimořádně důležité a obsahují všechny jejich e-maily. Doporučujeme také považovat všechny spuštěné moduly za potenciálně nebezpečné a pravidelně je kontrolovat,“ nabádá Paul Rascagneres, bezpečnostní analytik z týmu GReAT společnosti Kaspersky. Přečtěte si celou zprávu o modulu Owowa na webu securelist.com.
