Наши эксперты обнаружили вредоносный модуль Internet Information Services, который превращает веб-приложение Outlook on the web в инструмент для воровства учетных данных и своеобразную панель для удаленного доступа. Модуль используется неизвестными злоумышленниками в ходе целевых атак, наши исследователи дали ему имя OWOWA.
Что такое Outlook on the web и почему им интересуются злоумышленники
Веб-приложение Outlook on the web, ранее известное под названиями Exchange Web Connect, Outlook Web Access и Outlook Web App, — это веб-интерфейс для доступа к «персональному информационному менеджеру» от Microsoft. Разворачивается это приложение на веб-сервере, работающем на базе Internet Information Services (IIS).
Оно используется множеством компаний для удаленного доступа сотрудников к корпоративным почтовым ящикам и календарям, без необходимости установки специального клиента. Есть несколько вариантов реализации Outlook on the web, в числе прочего оно входит в состав Exchange Server, установленного в инфраструктуре компании, — именно этим вариантом и интересуются злоумышленники. В теории, если они смогут взять это приложение под контроль, то получат доступ ко всей корпоративной переписке, что даст им множество возможностей как для развития атаки на инфраструктуру, так и для организации BEC-атак.
Как работает OWOWA
OWOWA загружается как модуль на скомпрометированном веб-сервере IIS для всех совместимых приложений, но создан он специально для перехвата учетных данных, вводимых в OWA. Этот зловред проверяет запросы и ответы на странице входа в Outlook on the web и, если понимает, что пользователь ввел учетные данные и в ответ успешно получил токен аутентификации, записывает логин и пароль в файл (в зашифрованном виде).
Кроме того, атакующий способен напрямую управлять функциональностью OWOWA через ту же форму аутентификации. Вводя в строки логина и пароля специальные команды, злоумышленник может выгружать собранную информацию, удалять файл с логами или выполнять произвольную команду на скомпрометированном сервере через PowerShell.
Более подробное техническое описание модуля вместе с индикаторами компрометации можно найти в посте на блоге Securelist.
Кого атакуют OWOWA
Наши эксперты обнаружили атаки с применением модуля OWOWA на серверы в нескольких азиатских странах — Малайзии, Монголии, Индонезии, а также на Филиппинах. Однако у них есть основания полагать, что злоумышленники могут интересоваться организациями и в Европе.
Большая часть целей была правительственными организациями. Впрочем, среди них была как минимум одна транспортная компания, но и она принадлежала государству.
Как защититься от OWOWA
Наличие вредоносного модуля OWOWA (или любого другого постороннего IIS-модуля) на веб-сервере IIS можно обнаружить при помощи команды appcmd.exe или штатного инструмента конфигурации IIS.
Кроме того, мы рекомендуем не забывать, что любой сервер, имеющий выход в Интернет, нуждается в защите, как и любой другой компьютер. Поэтому их следует снабжать серверными защитными решениями.