黑客使用恶意IIS服务器模块窃取Microsoft Exchange凭据

恶意参与者正在Microsoft Exchange Outlook Web Access服务器上部署一个以前未被发现的二进制文件，这是一个Internet信息服务（IIS）Web服务器模块，目的是窃取凭据并启用远程命令执行。

“OWA是一个C#开发的.NET v4.0程序集，旨在作为IIS web服务器中的一个模块加载，该服务器还公开了Exchange的Outlook web Access（OWA），”卡巴斯基研究人员保罗·拉斯卡内雷斯和皮埃尔·德尔彻说。“以这种方式加载时，OWA将窃取任何用户在OWA登录页面中输入的凭据，并允许远程操作员在基础服务器上运行命令。”

流氓IIS模块可以被打造成后门的想法并不新鲜。2021年8月，斯洛伐克网络安全公司ESET对IIS威胁景观的详尽研究揭示了多达14个恶意软件家族，它们被开发为原生IIS模块，试图拦截HTTP流量并远程征用被破坏的计算机。

特别是，如果OWA用户名是“jFuLIXpzRdateYHoVwMlfc”，Owawa会用加密的凭据进行回复。另一方面，如果用户名为“dEUM3jZXaDiob8BrqSy2PQO1”，则会执行在OWA密码字段中键入的PowerShell命令，其结果会发送回攻击者

虽然未发现OWA运营商和其他公开记录的黑客组织之间的联系，但在已识别样本的源代码中发现的用户名“S3crt”（读作“机密”）产生了其他恶意软件可执行文件，可能是同一个开发人员的工作。其中最主要的是一些二进制文件，用于执行嵌入式外壳代码，加载从远程服务器检索到的下一阶段恶意软件，并触发Cobalt Strike有效载荷的执行

“IIS模块不是后门的常见格式，尤其是与典型的web应用程序威胁（如web Shell）相比，因此在标准的文件监视工作中很容易被忽略，”Rascagneres和Delcher说。“恶意模块[…；]为攻击者提供了一种有效的选择，通过在Exchange服务器内持久存在，在目标网络中获得稳固的立足点。"