Les acteurs de la menace installent un module de serveur Web IIS malveillant nommé « Owowa » sur les serveurs Microsoft Exchange Outlook Web Access pour voler les informations d’identification et exécuter des commandes sur le serveur à distance.
Le développement d’Owowa a probablement commencé fin 2020 sur la base des données de compilation et lorsqu’il a été téléchargé sur le service d’analyse des logiciels malveillants VirtusTotal.
Sur la base des données de télémétrie de Kaspersky, l’échantillon le plus récent en circulation date d’avril 2021, ciblant des serveurs en Malaisie, en Mongolie, en Indonésie et aux Philippines.
Ces systèmes appartiennent à des organisations gouvernementales, à des sociétés de transport public et à d’autres entités cruciales.
Kaspersky souligne que les cibles « Owowa » ne se limitent pas à l’Asie du Sud-Est et qu’elles ont également constaté des signes d’infection en Europe.
Source : Kaspersky
Une porte dérobée peu commune
Les serveurs Microsoft Exchange sont généralement ciblés par des shells Web qui permettent aux acteurs malveillants d’exécuter des commandes à distance sur un serveur et sont généralement la cible des défenseurs.
En tant que tel, l’utilisation d’un module IIS comme porte dérobée est un excellent moyen de rester caché. Les acteurs peuvent envoyer des demandes d’authentification apparemment inoffensives à OWA, contournant également les règles de surveillance du réseau standard.
« Les modules IIS ne sont pas un format courant pour les portes dérobées, en particulier par rapport aux menaces d’applications Web typiques telles que les shells Web et peuvent donc facilement être manqués lors des efforts de surveillance de fichiers standard. » explique le rapport par Kaspersky.
De plus, l’implant persiste même après la mise à jour du logiciel Exchange, de sorte que l’infection ne doit avoir lieu qu’une seule fois.
Kaspersky commente que l’acteur peut s’appuyer sur les failles de ProxyLogon pour compromettre le serveur, ce qui reste un problème même après avoir été corrigé il y a neuf mois.
Cependant, les acteurs n’ont pas fait un travail parfait avec le développement d’Owowa, omettant de masquer les chemins PDB dans l’exécutable du malware et provoquant des plantages de serveur dans certains cas.
Des capacités puissantes
Owowa cible spécifiquement les applications OWA des serveurs Exchange et est conçu pour enregistrer les informations d’identification des utilisateurs qui s’authentifient avec succès sur la page Web de connexion OWA.
Le succès de la connexion est automatiquement validé en surveillant l’application OWA pour générer un jeton d’authentification.
Source : Kaspersky
Si cela se produit, Owowa stocke le nom d’utilisateur, le mot de passe, l’adresse IP de l’utilisateur et l’horodatage actuel et crypte les données à l’aide de RSA.
L’acteur peut alors collecter les données volées en envoyant manuellement une commande au module malveillant.
Les commandes à distance peuvent également être utilisées pour exécuter PowerShell sur le point de terminaison compromis, ouvrant la voie à une gamme de possibilités d’attaque.
« Les cybercriminels n’ont besoin d’accéder qu’à la page de connexion OWA d’un serveur compromis pour entrer des commandes spécialement conçues dans les champs du nom d’utilisateur et du mot de passe », explique Kaspersky.
« Il s’agit d’une option efficace permettant aux attaquants de s’implanter solidement dans les réseaux ciblés en persistant à l’intérieur d’un serveur Exchange. »
Détecter et supprimer le module IIS
Les administrateurs peuvent utiliser la commande « appcmd.exe » ou l’outil de configuration IIS pour obtenir une liste de tous les modules chargés sur un serveur IIS.
Dans les cas vus par les chercheurs, le module malveillant utilise le nom « ExtenderControlDesigner », comme indiqué ci-dessous.
Source : Kaspersky
Bien que les chercheurs aient été amenés à ouvrir un compte sur le forum de piratage RaidForums pendant leur enquête, l’attribution reste faible et il n’y a généralement pas d’associations avec des acteurs connus.
De plus, la négligence dans le développement du module est le signe d’un acteur peu sophistiqué qui ne correspond pas à la portée du ciblage, y compris les entités gouvernementales.
En résumé, il s’agit d’un autre rappel de l’importance de vérifier régulièrement vos modules IIS, de rechercher des signes de mouvement latéral dans votre réseau et de maintenir les protections de sécurité de vos terminaux.