มีผู้ไม่หวังดีกำลังติดตั้งโค้ดไบนารีที่ออกแบบมาเป็นพิเศษในรูปของโมดูลเว็บเซิร์ฟเวอร์อย่าง Internet Information Services (IIS) โดยเรียกชื่อว่า “Owowa” บนเซิร์ฟเวอร์ Microsoft Exchange Outlook Web Access
โดยมีเป้าหมายในการขโมยข้อมูลรหัสผ่าน และเปิดช่องให้รันคำสั่งได้จากระยะไกล ซึ่งทางนักวิจัยจาก Kaspersky คุณ Paul Rascagneres และ Pierre Delcher ระบุว่า “Owowa พัฒนาขึ้นด้วยโค้ด C# บน .NET v4.0”
“พัฒนามาให้โหลดอยู่ในรูปโมดูลบนเว็บเซิร์ฟเวอร์ IIS ที่ใช้ดูดข้อมูลของ Outlook Web Access (OWA) บนเอ็กซ์เชนจ์โดยเฉพาะ มีการจารกรรมรหัสผ่านที่ผู้ใช้ป้อนเข้ามาในหน้าล็อกอินของ OWA และเปิดช่องให้รันคำสั่งบนเซิร์ฟเวอร์ดังกล่าวได้”
ทั้งนี้ความคิดในการใช้โมดูล IIS มาเป็นประตูหลังเคยเกิดขึ้นมาแล้ว อย่างเมื่อสิงหาคม 2021 มีการศึกษาโดยบริษัทด้านความปลอดภัยทางไซเบอร์สัญชาติสโลวักอย่าง ESET ที่พบการใช้ IIS ในการโจมตีโดยมัลแวร์มากถึง 14 ตระกูล
อ่านเพิ่มเติมที่นี่ – THN
/////////////////////////
