Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Společnost Kaspersky objevila dosud neznámý modul IIS, který zůstává přítomný v systému, i když se MS Exchange Server aktualizuje. Krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA) a umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru.

Tento doplněk, pojmenovaný jako Owowa, vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může v zařízení ukrývat po dlouhou dobu.

"Nebezpečnost modulu Owowa spočívá zejména v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. Je to mnohem skrytější způsob získání vzdáleného přístupu než rozesílání phishingových e-mailů. K odhalení takových hrozeb lze sice využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže bezpečnostní nástroje mohou Owowa snadno přehlédnout. Owowa je modulem IIS, což také znamená, že zůstává přítomný v systému, i když se Microsoft Exchange Server aktualizuje. Naštěstí se zdá, že si útočníci nepočínají příliš rafinovaně. Firmy by měly servery Exchange pečlivě sledovat, protože jsou pro jejich fungování mimořádně důležité a obsahují všechny jejich e-maily. Všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně se kontrolovat," říká Pierre Delcher, bezpečnostní expert z týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.

Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru.

Zákeřné funkce tohoto modulu lze snadno spustit odesláním zdánlivě neškodných požadavků - v tomto případě požadavků na ověření OWA.

Aalytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.

Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy - to umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.

Výzkumníkům společnosti Kaspersky se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem S3crt používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči.

Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.

Doporučení Kaspersky - jak čelit hrozbám tohot typu:

Zaměřte obrannou strategii na detekci metody lateral movement (postupného pronikání útočníka do sítě přes jedno ovládnuté zařízení a získávání kontroly nad dalšími zařízeními) a na exfiltraci svých dat na internet a věnujte zvláštní pozornost odchozímu provozu, abyste odhalili připojení kybernetických zločinců

Pravidelně kontrolujte načtené moduly IIS na exponovaných serverech IIS (zejména na serverech Exchange) pomocí stávající sady nástrojů pro IIS, vždy kontrolujte takové moduly v rámci aktivit zaměřených na vyhledávání hrozeb, a to pokaždé, když se objeví nějaká významná hrozba

Používejte spolehlivé řešení k zabezpečení koncových bodů, jako je Kaspersky Endpoint Security for Business (KESB), které je vybaveno prevencí zneužití, detekcí chování a mechanismem pro obnovu provozu narušeného záškodnickými akcemi

Používejte řešení, jako jsou Kaspersky Endpoint Detection and Response a služba Kaspersky Managed Detection and Response, která pomáhají identifikovat a zastavit útok už v počátečních fázích, než útočníci dosáhnou svého cíle