Hacker đang triển khai một tệp nhị phân của mô-đun máy chủ web Internet Information Services (IIS) có tên “Owowa”, trên máy chủ Microsoft Exchange Outlook Web Access, với mục đích lấy cắp thông tin xác thực và thực thi lệnh từ xa.
Nhà nghiên cứu Paul Rascagneres và Pierre Delcher của Kaspersky cho biết: “Owowa là một .NET v4.0 assembly (một thư viện mã được biên dịch một phần) được phát triển dựa trên C# có chức năng tải như một mô-đun bên trong máy chủ web IIS nhắm mục tiêu Outlook Web Access (OWA). Khi được tải, Owowa sẽ lấy cắp thông tin đăng nhập của người dùng bất kỳ trong trang đăng nhập OWA và cho phép hacker chạy các lệnh trên máy chủ IIS.”
Việc triển khai một mô đun IIS giả mạo không phải là kiểu tấn công mới. Vào tháng 8 năm 2021, nghiên cứu của công ty an ninh mạng ESET về máy chủ IIS, đã tiết lộ có tới 14 dòng mã độc được phát triển dưới dạng mô-đun IIS với khả năng chặn lưu lượng HTTP và điều khiển từ xa các máy tính bị xâm nhập.
Là một thành phần tồn tại bền bỉ trên hệ thống bị xâm nhập, Owawa được thiết kế để thu thập thông tin đăng nhập của những người dùng đã xác thực thành công trên trang web xác thực OWA. Sau đó, việc khai thác có thể thực hiện bằng cách gửi “các yêu cầu dường như vô hại” đến các dịch vụ web được kết nối đến Internet bằng cách nhập các lệnh được tạo đặc biệt trong trường tên người dùng và mật khẩu trong trang xác thực OWA của máy chủ bị xâm phạm.
Cụ thể, nếu tên người dùng OWA là “jFuLIXpzRdateYHoVwMlfc”, thì Owawa sẽ phản hồi lại bằng thông tin đăng nhập được mã hóa. Mặt khác, nếu tên người dùng là “dEUM3jZXaDiob8BrqSy2PQO1”, lệnh PowerShell được nhập trong trường mật khẩu OWA được thực thi, kết quả sẽ được gửi lại cho kẻ tấn công.
Kaspersky đã phát hiện một số máy chủ bị xâm nhập đặt ở Malaysia, Mông Cổ, Indonesia và Philippines, chủ yếu thuộc về các tổ chức chính phủ, ngoài ra còn có một máy chủ liên kết với một công ty vận tải thuộc sở hữu của chính phủ. Điều đó cho thấy, các tổ chức khác ở châu Âu cũng được cho là nạn nhân của tin tặc.
Hiện tại, chưa có bằng chứng nào để xác định mối liên hệ giữa những kẻ đứng sau mã độc Owowa và các nhóm hacker đã được biết đến trước đó. Sau khi phân tích, các nhà nghiên cứu phát hiện trong mã nguồn của một số mã độc bao gồm tên người dùng S3crt, chịu trách nhiệm phát triển các tính năng mới cho mã độc. Một số mã nhị phân được thiết kế để thực thi shellcode, nhận lệnh từ máy chủ từ xa để triển khai mã độc và kích hoạt việc thực thi Cobalt Strike.
Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) xác định được một tài khoản với tên người dùng S3crt trên Keybase (ứng dụng trò chuyện với tính năng mã hóa), đã chia sẻ các công cụ tấn công như Cobalt Strike và Core Impact. S3crt cũng xuất hiện trên diễn đàn RAIDForums.
Rascagneres và Delcher cho biết: “Các mô-đun IIS không phải là hình thức phổ biến cho backdoor, đặc biệt là khi so sánh với các mối đe dọa ứng dụng web điển hình như web shell và do đó có thể dễ dàng vượt qua các cơ chế bảo mật thông thường. Mô-đun độc hại […] này là một ví dụ cho thấy những kẻ tấn công có thể xâm phạm các hệ thống mạng được nhắm mục tiêu bằng cách tồn tại bền bỉ bên trong máy chủ Exchange.”
Theo: thehackernews