A Kaspersky közleménye felhívja a figyelmet arra, hogy 2021-ben a fejlett fenyegetéseket alkalmazó csoportok egyre jobban kiaknázták a Microsoft Exchange Server sérülékenységeit. Márciusban a szerverek négy kritikus sérülékenysége lehetővé tette, hogy a támadók hozzáférést nyerjenek az összes regisztrált e-mail-fiókhoz, és önkényes kódot futtassanak.

A további potenciálisan kártékony beépülő elemek után kutatva a Kaspersky szakértői felfedeztek egy kártékony modult, amely lehetővé teszi, hogy a támadók ellopják a Webes Outlooknál használt bejelentkezési adatokat, és távvezérelt hozzáférést nyerjenek az érintett szerverhez. A Kaspersky által az Owowa névre keresztelt modul kártékony képességei könnyen beindíthatók, már egy látszólag ártalmatlan kéréssel is – ebben az esetben egy OWA hitelesítési kéréssel.

A szakemberek úgy vélik, hogy a modult valamikor 2020 vége és 2021 áprilisa között alkották meg, és Malajziában, Mongóliában, Indonéziában és a Fülöp-szigeteken veszi célba áldozatait. Az áldozatok többsége kormányzati szervezetekhez köthető, egy másik áldozat pedig egy állami tulajdonú közlekedési vállalathoz. Valószínű, hogy Európában is vannak további áldozatok.

A kiberbűnözőknek csak egy feltört szerver OWA bejelentkezési oldalához kell hozzáférniük ahhoz, hogy speciálisan megszerkesztett parancsokat írjanak be a felhasználó és a jelszó mezőkbe. Ez hatékony módszert kínál arra, hogy a támadók szilárdan megvessék a lábukat a célba vett hálózatokban, ugyanis a kártékony modul tartósan ott marad az Exchange szerveren.

A Kaspersky kutatói egyetlen ismert támadócsoporttal sem tudták összefüggésbe hozni az Owowát. Ugyanakkor azt találták, hogy az „S3crt” felhasználónévhez kapcsolható, ez a név pedig egy olyan fejlesztőt takar, aki számos másik kártékony bináris betöltőprogram mögött állhat. Mindazonáltal az „S3crt” egész egyszerűen az angol „secret” (titok) szóból származik, így aztán többen is használhatják. Éppen ezért az is lehetséges, hogy semmilyen kapcsolat nincs ezek között a kártékony bináris fájlok és az Owowa között.

„Az Owowa azért jelent különösen nagy veszélyt, mert a modul segítségével egy támadó passzívan ellophatja a hitelesítési adatokat a webes szolgáltatásokhoz törvényesen hozzáférő felhasználóktól. Ez sokkal ravaszabb módja a távoli hozzáférés megszerzésének, mint az adathalász e-mailek küldése. Továbbá, bár az IIS konfigurációs eszközök használhatók az ilyen fenyegetések észlelésére, nem képezik a szokásos fájl- és hálózatmegfigyelési tevékenységek részét, ezért a biztonsági eszközök könnyen figyelmen kívül hagyják az Owowát” – mondta el Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

„Mivel az Owowa egy IIS modul, ez azt is jelenti, hogy még a Microsoft Exchange frissítését követően is megmarad. A jó hír az, hogy a támadók nem tűnnek nagyon kifinomultnak. A vállalatoknak szoros ellenőrzés alatt kell tartaniuk az Exchange szervereket, ugyanis nagyon érzékenyek, és az összes vállalati e-mailt tartalmazzák. Javasoljuk továbbá azt is, hogy minden futó modult tekintsenek kritikus fontosságúnak, és rendszeresen ellenőrizzék őket” – fejtette ki Paul Rascagneres, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.

Az Owowával foglalkozó teljes jelentés a Securelist oldalon olvasható.