Experti objevili skrytého parazita v Microsoft Exchange Serveru, který krade přihlašovací údaje

Analytici se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021 / Kaspersky
Dosud neznámý modul IIS (software umožňující přidání dalších funkcí u webových serverů od Microsoftu), který krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA), objevila společnost Kaspersky.

Škodlivý doplněk, který nazvala Owowa, umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru. Vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může ukrývat v zařízení po dlouhou dobu.

V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.

Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Zákeřné funkce tohoto modulu, kterému dala společnost Kaspersky jméno Owowa, lze snadno spustit odesláním zdánlivě neškodných požadavků – v tomto případě požadavků na ověření OWA.

Analytici se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.

Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy. To umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.

Výzkumníkům se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem „S3crt“ používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči. Slovo „S3crt“ je ale jednoduchou odvozeninou z anglického slova „secret“ a mohlo by ho klidně používat více osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.

Mohlo by vás zajímat

Reklama