By 
یک ماژول مخرب خدمات اطلاعات اینترنتی (IIS) در حال تبدیل Outlook در وب به ابزاری برای سرقت اطلاعات کاربری و یک پانل دسترسی از راه دور است. بازیگران ناشناس از ماژول، که محققان ما آن را OWOWA می نامند، در حملات هدفمند استفاده کرده اند. ، یا به سادگی OWA) یک رابط مبتنی بر وب برای دسترسی به سرویس مدیریت اطلاعات شخصی مایکروسافت است. این برنامه بر روی سرورهای وب دارای IIS مستقر شده است.
بسیاری از شرکتها از آن برای ارائه دسترسی از راه دور به صندوقهای پستی و تقویمهای شرکتی بدون نیاز به نصب کلاینت اختصاصی برای کارمندان استفاده میکنند. روشهای مختلفی برای پیادهسازی Outlook در وب وجود دارد که یکی از آنها استفاده از Exchange Server در سایت است که مجرمان سایبری به سمت آن کشیده میشوند. در تئوری، به دست آوردن کنترل این برنامه به آنها امکان دسترسی به تمام مکاتبات شرکتی، همراه با فرصت های بی پایان برای گسترش حملات خود به زیرساخت و راه اندازی کمپین های اضافی BEC را می دهد. یک ماژول برای همه برنامه های سازگار، اما هدف آن رهگیری اعتبارنامه های وارد شده به OWA است. بدافزار درخواستها و پاسخها را در Outlook در صفحه ورود به وب بررسی میکند، و اگر ببیند کاربری اعتبارنامهها را وارد کرده و در پاسخ یک نشانه احراز هویت دریافت کرده است، نام کاربری و رمز عبور را در یک فایل (به صورت رمزگذاریشده) مینویسد.
در علاوه بر این، OOWA به مهاجمان اجازه می دهد تا عملکرد آن را مستقیماً از طریق همان فرم احراز هویت کنترل کنند. با وارد کردن دستورات خاص در فیلدهای نام کاربری و رمز عبور، مهاجم میتواند اطلاعات جمعآوریشده را بازیابی کند، فایل گزارش را حذف کند، یا دستورات دلخواه را روی سرور در معرض خطر از طریق PowerShell اجرا کند. مصالحه، به پست Securelist مراجعه کنید.
قربانیان حملات OWOWA چه کسانی هستند؟
کارشناسان ما حملات مبتنی بر OOWA را به سرورها در چندین کشور آسیایی شناسایی کردند: مالزی، مغولستان، اندونزی و فیلیپین. با این حال، کارشناسان ما دلایلی برای این باور دارند که مجرمان سایبری نیز به سازمانهای اروپایی علاقهمند هستند.
اکثر اهداف سازمانهای دولتی بودند که حداقل یکی از آنها یک شرکت حملونقل (همچنین دولتی) بود.
نحوه محافظت در برابر OWOWA
میتوانید از دستور appcmd.exe – یا ابزار پیکربندی IIS معمولی – برای شناسایی ماژول مخرب OOWA (یا هر ماژول IIS شخص ثالث) در وب سرور IIS استفاده کنید. با این حال، به خاطر داشته باشید که هر سروری که در اینترنت قرار دارد، مانند هر کامپیوتر دیگری، نیاز به محافظت دارد.
(function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(d.getElementById(id)){return}js=d.createElement(s);js.id= id;js.src="https://connect.facebook.net/en_US/all.js";fjs.parentNode.insertBefore(js,fjs)}(document,"script","facebook-jssdk "))؛
