【安全资讯】Owowa：黑客使用恶意IIS组件攻击亚洲政府组织

引言

近日，攻击者正在 Microsoft Exchange 服务器上安装名为“Owowa”的恶意 IIS Web 服务器模块，以窃取凭据并在服务器上远程执行命令。目前，研究人员已经确定了几台位于亚洲的受感染服务器，大多数受害者属于政府组织。

简况

Owowa 是一个 C# 开发的 .NET v4.0 程序集，作为 IIS Web 服务器中的模块加载。 Owowa 专门针对 Exchange 服务器的Outlook Web Access(OWA)应用程序，旨在窃取在 OWA 登录网页上成功进行身份验证的用户的凭据。这种情况下，Owowa会存储用户名、密码、用户 IP 地址和当前时间戳，并使用 RSA 加密数据。然后，攻击者可以通过手动向恶意模块发送命令来收集被盗数据。

Owowa可以使用命令“appcmd.exe”或 IIS 配置工具来获取 IIS 服务器上所有加载模块的列表。IIS 配置管理器中的恶意模块如下：

该恶意模块很可能是在 2020 年末至 2021 年 4 月之间编译的。研究人员在 2021 年 4 月的遥测中发现了最新 Owowa 样本。受攻击的目标分布在马来西亚、蒙古、印度尼西亚和菲律宾，大多数属于政府组织，还包括属于政府的运输公司。此外，研究人员以中到高的可信度评估，欧洲也可能成为攻击的目标。受害者的地理分布如下图：

由于有关 Owowa 部署的数据不足，研究人员暂未发现 Owowa 与任何已知威胁组织之间的联系。虽然研究人员根据分析发现了 RaidForums 黑客论坛上的一个可能关联的帐户，但证据不足，归因仍然无法确定。

总结

Owowa 背后的运营商表现出对亚洲，特别是东南亚政府组织的兴趣，说明攻击者的目标可能是收集有关东盟议程，以及成员国外交政策的情报。但是，攻击者在模块开发中明显缺乏经验，这一行为似乎与情报收集的目标不符，研究人员暂未确定归因。