Microsoft Exchange Outlook Web Accessサーバーに「Owowa」という悪意のあるIIS Webサーバーモジュールをインストールし、認証情報を盗み、サーバー上でコマンドをリモートで実行することを目的としている攻撃者の存在が確認されました。
Owowaの開発は、コンパイルデータとマルウェアスキャンサービスVirtusTotalにアップロードされた時期から推測して2020年後半に開始された可能性が高いです。
カスペルスキーのテレメトリーデータに基づくと、最も新しく流通しているサンプルは2021年4月のものでマレーシア、モンゴル、インドネシア、フィリピンのサーバーを標的としています。
これらのシステムは、政府機関、公共交通機関、およびその他の重要な事業体のシステムが標的になっています。
カスペルスキーは、「Owowa」の標的は東南アジアに限定されておらず、ヨーロッパでも感染の兆候が見られるとコメントしています。
珍しいバックドア
Microsoft Exchangeサーバは、脅威者がサーバ上でリモートでコマンドを実行できるようにするWebシェルでよく狙われ、防御側の注目すべきポイントとなっています。
そのため、IIS モジュールをバックドアとして使用することは、身を隠すための優れた方法です。
攻撃者は、一見無害に見える認証リクエストをOWAに送信し、標準的なネットワーク監視ルールも回避することができます。
IISモジュールは、特にWebシェルのような典型的なWebアプリケーションの脅威と比較すると、バックドアとしては一般的な形式ではないため、標準的なファイル監視作業では簡単に見逃してしまいます
さらに、この攻撃はExchangeソフトウェアのアップデート後も持続するため、感染は一度だけでよいのです。
カスペルスキーは、ProxyLogonの欠陥に依存している可能性があるとコメントしています。
しかし、攻撃者のOwowaの開発は完璧ではなく、マルウェア実行ファイル内のPDBパスを隠すことに失敗し、サーバークラッシュを引き起こすケースもあったようです。
Owowaの強力な機能
Owowaは、特にExchangeサーバーのOWAアプリケーションをターゲットとしており、OWAログインWebページで認証に成功したユーザーの認証情報を記録するように設計されています。
ログインの成功は、OWAアプリケーションを監視して認証トークンを生成することによって自動的に検証されます。
その場合、Owowaはユーザー名、パスワード、ユーザーIPアドレス、現在のタイムスタンプを保存し、RSAを使用してデータを暗号化します。
また悪意のあるモジュールに手動でコマンドを送信することで、盗まれたデータを収集することができます。
リモートコマンドは、侵害されたエンドポイント上でPowerShellを実行するために使用されることもあり、さまざまな攻撃の可能性が考えられます。
サイバー犯罪者は、侵害されたサーバーのOWAログインページにアクセスし、ユーザー名とパスワードの欄に特別に細工したコマンドを入力するだけで攻撃は完了します。
これは攻撃者がExchangeサーバ内に潜伏することで、標的のネットワークに強力な足場を築くための効率的な選択肢です。
IISモジュールの検出と削除
管理者はコマンド ‘appcmd.exe’ または IIS 構成ツールを使用して、IIS サーバーにロードされたすべてのモジュールのリストを取得することができ、悪意のあるモジュールを発見することができます。
研究者が確認したケースでは、悪意のあるモジュールは、以下のように「ExtenderControlDesigner」という名前を使用しています。
まとめると、今回の事件はIIS モジュールを定期的にチェックし、ネットワークにおける横方向の動きの兆候を探し、エンドポイントセキュリティのシールドを維持することの重要性を改めて認識させるものです。
Comments