logo

Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Společnost Kaspersky objevila dosud neznámý modul IIS, který zůstává přítomný v systému, i když se MS Exchange Server aktualizuje. Krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA) a umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru.

Tento doplněk, pojmenovaný jako Owowa, vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může v zařízení ukrývat po dlouhou dobu.

"Nebezpečnost modulu Owowa spočívá zejména v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. Je to mnohem skrytější způsob získání vzdáleného přístupu než rozesílání phishingových e-mailů. K odhalení takových hrozeb lze sice využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže bezpečnostní nástroje mohou Owowa snadno přehlédnout. Owowa je modulem IIS, což také znamená, že zůstává přítomný v systému, i když se Microsoft Exchange Server aktualizuje. Naštěstí se zdá, že si útočníci nepočínají příliš rafinovaně. Firmy by měly servery Exchange pečlivě sledovat, protože jsou pro jejich fungování mimořádně důležité a obsahují všechny jejich e-maily. Všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně se kontrolovat," říká Pierre Delcher, bezpečnostní expert z týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.

Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru.

Zákeřné funkce tohoto modulu lze snadno spustit odesláním zdánlivě neškodných požadavků - v tomto případě požadavků na ověření OWA.

Aalytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.

Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy - to umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.

Výzkumníkům společnosti Kaspersky se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem S3crt používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči.

Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.

Doporučení Kaspersky - jak čelit hrozbám tohot typu:

Článek ze dne 15. prosince 2021 - středa

Další články od KASPERSKY LAB CZECH REPUBLIC

Masivní kybernetické útoky na ukrajinskou infrastrukturu

Mobilní hrozby v roce 2021

Bezpečná bezdrátová aktualizace řídících jednotek chytrých automobilů

Rekordní nárůst DDos útoků

Spam a phishing v roce 2021

Valentýn 2022 ve znamení nárůstu podvodných aktivit

Evropské firmy často podceňují investice do IT bezpečnosti

Kyberbezpečnostní hra [Dis]connected

Hrdiny sci-fi filmu Moonfall chrání bezpečnostní systémy Kaspersky

Log4Shell zranitelnost představuje novou éru kybernetických útoků

Blokování škodlivého obsahu a phishingových domén

Rizika kontroverzních příspěvků na sociálních sítích

Bezpečnostní hrozba BlueNoroff vykrádá účty finančních startupů

Ochrana digitální identity v prostředí metasvěta

Rekordní záchyt nových typů škodlivých souborů

Jak nastavit ochranu soukromí u různých internetových služeb a platforem

Škodlivý doplněk krade přihlašovací údaje uživatelů Microsoft Exchange Serveru

Nebezpečná zranitelnost v rozšířené knihově nástrojů pro Java aplikace

Nové strategie ransomware útočníků

Zásady kybernetické bezpečnosti pro bionická zařízení

Firmy často tají informace o úniku osobních údajů zaměstnanců

Lepší zabezpečení kyberbezpečnosti je pro zdravotnická zařízení velkou výzvou

Prognózy finančních hrozeb roku 2022

Slevové akce typu Black Friday lákají k podvodům při online platbách

Jak se lidé a firmy dokázali přizpůsobit podmínkám práce na home office

Nahlédněte do zákulisí etických hackerů a kybernetických profesionálů

Špatná legislativa brzdí vyšetřování kybernetické kriminality

Kyberzločinci intenzivně využívají streamované pořady a seriály jako návnadu

Aktualizace Kaspersky VPN Secure Connection

Počet pokročilých DDoS útoků roste

Pozor na scam a phishing ve falešných kampaních podvodníků

Kyberzločin zneužívá popularitu Hry na oliheň

Skupina Lazarus vyvíjí prostředky pro útok na dodavatelské řetězce

Simulační hra o kyberbezpečnosti pro diplomaty a úředníky

Bezpečná online práce zaměstnanců s využitím VPN

Bankovní trojan Trickbot se překotně vyvíjí

Nový zero-day exploit MysterySnail napadá servery s Microsoft Windows

Sdílení dat s dodavateli představuje riziko kybernetického útoku

Absolutní ochrana před ransomware

Nový backdoor Tomiris se podezřele podobá malwaru Sunshuttle

Spyware FinFisher se snaží obcházet bezpečnostních řešení

Trojan BloodyStealer ohrožuje on-line herní platformy

Cybersecurity platforma pomáhá v rozvoji nových produktů a služeb

Sociální sítě během epidemie často nahrazují skutečné vztahy

Kaspersky Smart Home Security pro ochranu IoT zařízení chytrých domácností

Kaspersky Security Day

Pravidelné aktualizace a silná hesla snižují rizika kybernetického napadení firem

SAS 2021 - Summit bezpečnostních analytiků

Microsoft Exchange Server čelí nárůstu kybernetických útoků

Bezpečnostní řešení Kaspersky spolehlivě chrání před bankovním trojanem QakBot