Tin tặc giả mạo mô-đun máy chủ IIS để lấy cắp thông tin đăng nhập Microsoft Exchange

Các tác nhân độc hại đang triển khai backdoor mới dưới dạng một mô-đun máy chủ web Internet Information Services (IIS) có tên "Owowa" trên các máy chủ Microsoft Exchange Outlook Web Access để lấy cắp thông tin xác thực và thực thi lệnh (command) từ xa.

Ý tưởng giả mạo mô-đun IIS không phải là mới. Vào tháng 8 năm 2021, một nghiên cứu của công ty an ninh mạng ESET cho biết có 14 loại mã độc đã được phát triển dưới dạng mô-đun IIS để chặn lưu lượng HTTP và điều khiển từ xa các máy tính bị xâm nhập.

Owawa được thiết kế để đánh cắp thông tin đăng nhập của người dùng trên trang xác thực OWA bằng cách gửi các request chứa câu lệnh độc hại trong trường thông tin “username” và “password” đến một máy chủ mục tiêu.

Công ty bảo mật Nga cho biết đã phát hiện nhóm các máy chủ bị xâm nhập đặt tại Malaysia, Mông Cổ, Indonesia và Philippines chủ yếu thuộc về các tổ chức chính phủ. Các tổ chức khác ở châu Âu cũng được cho là nạn nhân của cuộc tấn công.

Không dấu hiệu nào cho thấy các đối tượng khai thác Owowa có liên quan đến các nhóm tấn công công khai khác. Nhưng các nhà phân tích đã phát hiện một tên người dùng "S3crt" được nhúng trong mã nguồn của các mẫu độc hại đã xác định, được cho là có thể liên quan đến các đối tượng khai thác mã độc như Cobalt Strike.

Nhóm nghiên cứu của Kaspersky (GReAT) cho biết họ đã xác định được một tài khoản có cùng tên trên Keybase, nơi chia sẻ các công cụ tấn công như Cobalt Strike và Core Impact.

Nhà nghiên cứu Rascagneres và Delcher của Kaspersky cho biết. “Các mô-đun IIS không phải là định dạng phổ biến cho backdoor do đó có thể dễ bị bỏ sót trong các nỗ lực giám sát, kiểm tra tệp”. “Mô-đun độc hại cho phép những kẻ tấn công có được “chỗ đứng vững chắc” trong các mạng được nhắm mục tiêu bằng cách che dấu bên trong máy chủ Exchange."

Nguồn: thehackernews.com.