पावरएक्सचेंज मैलवेयर
हमले के संचालन में PowerExchange नाम का एक नया पहचाना गया मैलवेयर उभरा है। यह उपन्यास बैकडोर पावरशेल को अपनी प्राथमिक स्क्रिप्टिंग भाषा के रूप में नियोजित करता है। मैलवेयर का उपयोग Microsoft Exchange सर्वरों को ऑन-प्रिमाइसेस पर बैकडोर स्थापित करने के लिए किया गया था। खतरे से जुड़ी हमले की घटनाओं को APT34 (एडवांस्ड परसिस्टेंट थ्रेट) ईरानी राज्य हैकर्स से जोड़ा जा सकता है।
फ़िशिंग ईमेल के माध्यम से लक्षित मेल सर्वर में घुसपैठ करने वाले खतरे के अभिनेताओं द्वारा नियोजित हमले वेक्टर। ईमेल में एक कंप्रेस्ड आर्काइव है जिसमें एक समझौता निष्पादन योग्य है। एक बार निष्पादित होने के बाद, PowerExchange को तैनात किया गया, जिससे हैकर्स को अनधिकृत पहुँच प्राप्त करने और समझौता किए गए Microsoft Exchange सर्वरों पर नियंत्रण करने में सक्षम बनाया गया। इसके बाद, खतरे के कारक ExchangeLeech के रूप में ट्रैक किए गए एक वेब शेल का भी उपयोग करते हैं, जिसे पहली बार 2020 में उजागर किया गया था, जो उन्हें संवेदनशील डेटा को बाहर निकालने में सक्षम बनाता है, मुख्य रूप से समझौता किए गए Microsoft Exchange सर्वरों के भीतर संग्रहीत उपयोगकर्ता क्रेडेंशियल्स की चोरी पर ध्यान केंद्रित करता है।
PowerExchange मैलवेयर का उपयोग, ExchangeLeech वेब शेल के संयोजन में, APT34 द्वारा उनकी खतरनाक गतिविधियों में नियोजित परिष्कृत रणनीति को प्रदर्शित करता है। PowerExchange पिछले दरवाजे की खोज संयुक्त अरब अमीरात में स्थित एक सरकारी संगठन की समझौता प्रणालियों पर एक शोध दल द्वारा की गई थी।
विषयसूची
PowerExchange मैलवेयर पीड़ित के एक्सचेंज सर्वर का शोषण करता है
PowerExchange मैलवेयर हमले के ऑपरेशन के कमांड-एंड-कंट्रोल (C2) सर्वर के साथ संचार स्थापित करता है। यह एक्सचेंज वेब सर्विसेज (ईडब्ल्यूएस) एपीआई के माध्यम से भेजे गए ईमेल का लाभ उठाता है, एकत्रित जानकारी भेजने और बेस 64-एन्कोडेड कमांड प्राप्त करने के लिए इन ईमेल के भीतर टेक्स्ट अटैचमेंट का उपयोग करता है। ये ईमेल 'माइक्रोसॉफ्ट एज अपडेट करें' विषय पंक्ति के साथ पीड़ित द्वारा अतिरिक्त जांच को आकर्षित करने से बचने का प्रयास करते हैं।
C2 चैनल के रूप में पीड़ित के एक्सचेंज सर्वर का उपयोग खतरे के अभिनेताओं द्वारा नियोजित एक सोची समझी रणनीति है। यह दृष्टिकोण पिछले दरवाजे को वैध ट्रैफ़िक के साथ मिश्रण करने की अनुमति देता है, जिससे नेटवर्क-आधारित पहचान और उपचारात्मक तंत्र के लिए खतरे की पहचान करना और उसे कम करना बहुत मुश्किल हो जाता है। संगठन के बुनियादी ढांचे के भीतर अपनी गतिविधियों को छलावरण करके, खतरे के कारक प्रभावी रूप से पता लगाने से बच सकते हैं और गुप्त उपस्थिति बनाए रख सकते हैं।
PowerExchange पिछले दरवाजे ऑपरेटरों को समझौता किए गए सर्वरों पर व्यापक नियंत्रण प्रदान करता है। यह उन्हें विभिन्न आदेशों को निष्पादित करने में सक्षम बनाता है, जिसमें समझौता किए गए सर्वरों पर अतिरिक्त धमकी देने वाले पेलोड की डिलीवरी और कटी हुई फ़ाइलों की निकासी शामिल है। यह बहुमुखी प्रतिभा खतरे के अभिनेताओं को अपनी पहुंच बढ़ाने और समझौता किए गए वातावरण में आगे हानिकारक गतिविधियों को अंजाम देने का अधिकार देती है।
अतिरिक्त खतरनाक इम्प्लांट्स को पॉवरएक्सचेंज बैकडोर अटैक के हिस्से के रूप में तैनात किया गया है
अतिरिक्त समझौता किए गए समापन बिंदु जिनमें कई अन्य असुरक्षित प्रत्यारोपण शामिल हैं, की भी पहचान की गई है। विशेष रूप से, खोजे गए प्रत्यारोपणों में से एक एक्सचेंजलीच वेब शेल था, जिसे System.Web.ServiceAuthentication.dll नाम की एक फ़ाइल के रूप में प्रच्छन्न किया गया था, आमतौर पर वैध IIS फ़ाइलों से जुड़े नामकरण सम्मेलनों को अपनाते हुए।
ExchangeLeech सक्रिय रूप से संवेदनशील जानकारी एकत्र करके संचालित होता है, विशेष रूप से उन व्यक्तियों के उपयोगकर्ता नाम और पासवर्ड को लक्षित करता है जो मूल प्रमाणीकरण का उपयोग करके समझौता एक्सचेंज सर्वर में लॉग इन करते हैं। यह वेब शेल की स्पष्ट पाठ HTTP ट्रैफ़िक की निगरानी करने और वेब फ़ॉर्म डेटा या HTTP हेडर से क्रेडेंशियल्स कैप्चर करने की क्षमता के माध्यम से प्राप्त किया जाता है।
समझौता किए गए सर्वरों का और अधिक दोहन करने के लिए, हमलावर कुकी पैरामीटर के माध्यम से एकत्रित क्रेडेंशियल लॉग को प्रसारित करने के लिए वेब शेल को निर्देश दे सकते हैं। यह उन्हें संदेह पैदा किए बिना कैप्चर की गई साख को गुप्त रूप से बाहर निकालने की अनुमति देता है।
PowerExchange हमलों का श्रेय APT34 हैकर समूह को दिया जाता है
PowerExchange हमलों को ईरानी राज्य-प्रायोजित हैकिंग समूह APT34 या Oilrig के रूप में जाना जाता है। शोधकर्ताओं ने कुवैती सरकारी संगठनों के सर्वरों के भीतर बैकडोर स्थापित करने के लिए पहले APT34 द्वारा उपयोग किए जाने वाले PowerExchange मैलवेयर और TriFive मैलवेयर के बीच हड़ताली समानताओं की पहचान करके यह संबंध बनाया।
PowerExchange और TriFive दोनों उल्लेखनीय समानताएँ प्रदर्शित करते हैं। वे दोनों PowerShell पर आधारित हैं, निर्धारित कार्यों के माध्यम से सक्रिय हैं, और C2 चैनल के रूप में EWS API का उपयोग करके संगठन के एक्सचेंज सर्वर का शोषण करते हैं। हालाँकि इन बैकडोर्स का कोड स्पष्ट रूप से भिन्न है, शोधकर्ता अनुमान लगाते हैं कि PowerExchange TriFive मैलवेयर के एक विकसित और बेहतर पुनरावृत्ति का प्रतिनिधित्व करता है।
इसके अलावा, यह उल्लेखनीय है कि APT34 लगातार फ़िशिंग ईमेल को अपने हमले के संचालन के प्रारंभिक संक्रमण वेक्टर के रूप में नियोजित करता है। पीड़ितों को असुरक्षित सामग्री के साथ बातचीत करने या इन ईमेलों के दूषित लिंक पर क्लिक करने के लिए लुभाकर, APT34 लक्षित वातावरण में पैर जमाने में सक्षम होता है, जिससे वे अपनी धमकी देने वाली गतिविधियों को आगे बढ़ा सकते हैं। तथ्य यह है कि APT34 ने पहले संयुक्त अरब अमीरात में अन्य संस्थाओं का उल्लंघन किया है, उन्हें इन हमलों से जोड़ने वाले साक्ष्य में जोड़ता है।
