Зловреден софтуер на PowerExchange
Наскоро идентифициран злонамерен софтуер, наречен PowerExchange, се появи при операции за атака. Тази нова задна вратичка използва PowerShell като основен скриптов език. Злонамереният софтуер е използван за създаване на задни врати на локални сървъри на Microsoft Exchange. Инцидентите на атака, включващи заплахата, може да са свързани с APT34 (Advanced Persistent Threat) ирански държавни хакери.
Векторът на атака, използван от участниците в заплахата, включваше проникване в целевия пощенски сървър чрез фишинг имейл. Имейлът съдържаше компресиран архив, съдържащ компрометиран изпълним файл. Веднъж изпълнен, PowerExchange беше внедрен, позволявайки на хакерите да получат неоторизиран достъп и контрол над компрометираните сървъри на Microsoft Exchange. След това участниците в заплахата също използват уеб обвивка, проследявана като ExchangeLeech, която беше разкрита за първи път през 2020 г., което им позволява да ексфилтрират чувствителни данни, като се фокусират основно върху кражбата на потребителски идентификационни данни, съхранявани в компрометираните сървъри на Microsoft Exchange.
Използването на зловреден софтуер PowerExchange, във връзка с уеб обвивката на ExchangeLeech, демонстрира сложните тактики, използвани от APT34 в техните заплашителни дейности. Задната врата на PowerExchange беше открита от изследователски екип на компрометираните системи на правителствена организация, базирана в Обединените арабски емирства.
Съдържание
Зловреден софтуер PowerExchange експлоатира Exchange сървъра на жертвата
Злонамереният софтуер PowerExchange установява комуникация със сървъра за командване и управление (C2) на операцията за атака. Той използва имейли, изпратени чрез API на Exchange Web Services (EWS), като използва текстови прикачени файлове в тези имейли, за да изпраща събрана информация и да получава команди, кодирани с base64. Тези имейли се опитват да избегнат привличането на допълнително внимание от страна на жертвата, като съдържат темата „Актуализиране на Microsoft Edge“.
Използването на Exchange сървъра на жертвата като C2 канал е умишлена стратегия, използвана от участниците в заплахата. Този подход позволява на задната врата да се слее с легитимния трафик, което прави изключително трудно за базираните на мрежата механизми за откриване и коригиране да идентифицират и смекчат заплахата. Като маскират своите дейности в инфраструктурата на организацията, участниците в заплахата могат ефективно да избегнат откриването и да поддържат скрито присъствие.
Задната врата на PowerExchange предоставя на операторите широк контрол върху компрометираните сървъри. Позволява им да изпълняват различни команди, включително доставянето на допълнителни заплашителни товари на компрометираните сървъри и ексфилтрирането на събраните файлове. Тази гъвкавост дава възможност на участниците в заплахата да разширят обхвата си и да извършват допълнителни вредни дейности в рамките на компрометираната среда.
Допълнителни заплашителни импланти се внедряват като част от атаките на задната врата на PowerExchange
Идентифицирани са и допълнителни компрометирани крайни точки, които съдържат различни други опасни импланти. За отбелязване е, че един от откритите импланти беше уеб обвивката на ExchangeLeech, която беше маскирана като файл с име System.Web.ServiceAuthentication.dll, възприемайки конвенциите за именуване, обикновено свързани с легитимни IIS файлове.
ExchangeLeech работи чрез активно събиране на чувствителна информация, специално насочена към потребителските имена и пароли на лица, които влизат в компрометираните Exchange сървъри, използвайки основно удостоверяване. Това се постига чрез способността на уеб обвивката да наблюдава HTTP трафик с чист текст и да улавя идентификационни данни от данни на уеб формуляри или HTTP заглавки.
За по-нататъшно използване на компрометираните сървъри, нападателите могат да инструктират уеб обвивката да предаде събраните регистрационни файлове с идентификационни данни чрез параметри на бисквитката. Това им позволява тайно да ексфилтрират заловените идентификационни данни, без да предизвикват подозрение.
Атаките на PowerExchange се приписват на хакерската група APT34
Атаките на PowerExchange се приписват на спонсорираната от държавата хакерска група, известна като APT34 или Oilrig. Изследователите направиха тази връзка, като идентифицираха поразителни прилики между злонамерения софтуер PowerExchange и злонамерения софтуер TriFive, използван преди това от APT34 за установяване на задни врати в сървърите на кувейтските правителствени организации.
И PowerExchange, и TriFive показват забележителни прилики. И двете са базирани на PowerShell, активирани чрез планирани задачи и използват Exchange сървъра на организацията, използвайки EWS API като C2 канал. Въпреки че кодът на тези задни врати е очевидно различен, изследователите спекулират, че PowerExchange представлява еволюирала и подобрена итерация на зловредния софтуер TriFive.
Освен това си струва да се спомене, че APT34 последователно използва фишинг имейли като първоначален вектор за заразяване на техните операции за атака. Като примамва жертвите да взаимодействат с опасно съдържание или да кликват върху повредени връзки в тези имейли, APT34 се закрепва в целевата среда, което им позволява да продължат със своите заплашителни дейности. Фактът, че APT34 преди това е нарушил други субекти в Обединените арабски емирства, допълва доказателствата, свързващи ги с тези атаки.
