البرامج الضارة PowerExchange
ظهر برنامج ضار تم تحديده حديثًا يسمى PowerExchange في عمليات الهجوم. يستخدم هذا الباب الخلفي الجديد PowerShell كلغة البرمجة الأساسية الخاصة به. تم استخدام البرامج الضارة لإنشاء أبواب خلفية على خوادم Microsoft Exchange داخل الشركة. يمكن ربط حوادث الهجوم التي تنطوي على التهديد بقراصنة الدولة الإيرانية APT34 (التهديد المستمر المتقدم).
تضمن ناقل الهجوم الذي تستخدمه جهات التهديد التسلل إلى خادم البريد المستهدف من خلال بريد إلكتروني للتصيد الاحتيالي. احتوى البريد الإلكتروني على أرشيف مضغوط يحتوي على ملف قابل للتنفيذ مخترق. بمجرد تنفيذه ، تم نشر PowerExchange ، مما مكن المتسللين من الوصول غير المصرح به والتحكم في خوادم Microsoft Exchange المخترقة. بعد ذلك ، يستخدم المهاجمون أيضًا قشرة الويب التي تم تعقبها باسم ExchangeLeech ، والتي تم الكشف عنها لأول مرة في عام 2020 ، مما يمكنهم من سرقة البيانات الحساسة ، مع التركيز بشكل أساسي على سرقة بيانات اعتماد المستخدم المخزنة داخل خوادم Microsoft Exchange المخترقة.
يوضح استخدام البرامج الضارة PowerExchange ، جنبًا إلى جنب مع ExchangeLeech Web shell ، التكتيكات المعقدة التي تستخدمها APT34 في أنشطتها المهددة. تم اكتشاف الباب الخلفي PowerExchange من قبل فريق بحث حول الأنظمة المخترقة لمؤسسة حكومية مقرها في الإمارات العربية المتحدة.
جدول المحتويات
تستغل البرامج الضارة PowerExchange خادم Exchange الخاص بالضحية
تُنشئ البرامج الضارة PowerExchange اتصالاً بخادم الأوامر والتحكم (C2) لعملية الهجوم. إنها تستفيد من رسائل البريد الإلكتروني المرسلة من خلال واجهة برمجة تطبيقات Exchange Web Services (EWS) ، باستخدام المرفقات النصية في رسائل البريد الإلكتروني هذه لإرسال المعلومات المجمعة وتلقي أوامر base64 المشفرة. تحاول رسائل البريد الإلكتروني هذه تجنب اجتذاب مزيد من التدقيق من قبل الضحية من خلال حمل سطر الموضوع "تحديث Microsoft Edge".
يعد استخدام خادم Exchange الخاص بالضحية كقناة C2 استراتيجية مدروسة تستخدمها الجهات المهددة. يسمح هذا النهج للباب الخلفي بالاندماج مع حركة المرور المشروعة ، مما يجعل من الصعب للغاية على آليات الكشف والمعالجة القائمة على الشبكة تحديد التهديد والتخفيف منه. من خلال تمويه أنشطتها داخل البنية التحتية للمنظمة ، يمكن للجهات الفاعلة في التهديد تجنب الاكتشاف بشكل فعال والحفاظ على وجود سري.
يوفر الباب الخلفي PowerExchange للمشغلين تحكمًا شاملاً في الخوادم المخترقة. تمكنهم من تنفيذ أوامر مختلفة ، بما في ذلك تسليم حمولات تهديد إضافية على الخوادم المخترقة واستخراج الملفات التي تم حصادها. هذا التنوع يمكّن الجهات الفاعلة في التهديد من توسيع نطاق وصولها وتنفيذ المزيد من الأنشطة الضارة داخل البيئة المعرضة للخطر.
يتم نشر أدوات التهديد الإضافية كجزء من هجمات PowerExchange Backdoor
كما تم تحديد نقاط النهاية الإضافية المخترقة التي تحتوي على غرسات أخرى غير آمنة. والجدير بالذكر أن إحدى عمليات الزرع التي تم اكتشافها كانت عبارة عن غلاف ويب ExchangeLeech ، والذي تم إخفاءه كملف باسم System.Web.ServiceAuthentication.dll ، واعتماد اصطلاحات التسمية المرتبطة عادةً بملفات IIS الشرعية.
يعمل ExchangeLeech من خلال جمع المعلومات الحساسة بنشاط ، ويستهدف على وجه التحديد أسماء المستخدمين وكلمات المرور للأفراد الذين يسجلون الدخول إلى خوادم Exchange المخترقة باستخدام المصادقة الأساسية. يتم تحقيق ذلك من خلال قدرة Web shell على مراقبة حركة مرور HTTP ذات النص الواضح والتقاط بيانات الاعتماد من بيانات نموذج الويب أو رؤوس HTTP.
لمزيد من استغلال الخوادم المخترقة ، يمكن للمهاجمين إرشاد Web shell لنقل سجلات الاعتماد المجمعة عبر معلمات ملفات تعريف الارتباط. وهذا يسمح لهم بالتسلل سرًا إلى أوراق الاعتماد التي تم الاستيلاء عليها دون إثارة الشكوك.
تُنسب هجمات PowerExchange إلى APT34 Hacker Group
نُسبت هجمات PowerExchange إلى مجموعة القرصنة الإيرانية التي ترعاها الدولة والمعروفة باسم APT34 أو Oilrig. توصل الباحثون إلى هذا الارتباط من خلال تحديد أوجه التشابه المذهلة بين البرنامج الضار PowerExchange والبرامج الضارة TriFive التي استخدمتها سابقًا APT34 لإنشاء أبواب خلفية داخل خوادم المؤسسات الحكومية الكويتية.
يُظهر كل من PowerExchange و TriFive أوجه تشابه ملحوظة. كلاهما يعتمد على PowerShell ، ويتم تنشيطهما من خلال المهام المجدولة ، ويستغلان خادم Exchange الخاص بالمؤسسة باستخدام EWS API كقناة C2. على الرغم من اختلاف رمز هذه الأبواب الخلفية بشكل واضح ، إلا أن الباحثين يتكهنون بأن PowerExchange يمثل تكرارًا متطورًا ومحسّنًا لبرامج TriFive الضارة.
علاوة على ذلك ، من الجدير بالذكر أن APT34 تستخدم باستمرار رسائل البريد الإلكتروني المخادعة كناقل عدوى أولي لعمليات الهجوم الخاصة بها. من خلال إغراء الضحايا للتفاعل مع المحتوى غير الآمن أو النقر على الروابط التالفة داخل رسائل البريد الإلكتروني هذه ، تكتسب APT34 موطئ قدم في البيئة المستهدفة ، مما يمكنهم من المضي قدمًا في أنشطتهم المهددة. تضيف حقيقة أن APT34 قد انتهكت سابقًا كيانات أخرى في الإمارات العربية المتحدة إلى الأدلة التي تربطها بهذه الهجمات.
