Programari maliciós PowerExchange
Un programari maliciós recentment identificat anomenat PowerExchange ha sorgit en les operacions d'atac. Aquesta nova porta posterior utilitza PowerShell com a llenguatge de script principal. El programari maliciós es va utilitzar per establir portes posteriors a les instal·lacions dels servidors de Microsoft Exchange. Els incidents d'atac que impliquen l'amenaça podrien estar relacionats amb els pirates informàtics de l'estat iranià APT34 (Amenaça persistent avançada).
El vector d'atac emprat pels actors de l'amenaça implicava infiltrar-se al servidor de correu objectiu mitjançant un correu electrònic de pesca. El correu electrònic contenia un arxiu comprimit que contenia un executable compromès. Un cop executat, es va desplegar PowerExchange, cosa que va permetre als pirates informàtics obtenir accés i control no autoritzats sobre els servidors de Microsoft Exchange compromesos. A continuació, els actors de l'amenaça també utilitzen un shell web rastrejat com a ExchangeLeech, que es va descobrir per primera vegada el 2020, cosa que els permet exfiltrar dades sensibles, centrant-se principalment en el robatori de les credencials d'usuari emmagatzemades als servidors compromesos de Microsoft Exchange.
L'ús de programari maliciós PowerExchange, juntament amb l'intèrpret d'ordres web ExchangeLeech, demostra les tàctiques sofisticades que utilitza APT34 en les seves activitats amenaçadores. La porta posterior de PowerExchange va ser descoberta per un equip d'investigació sobre els sistemes compromesos d'una organització governamental amb seu als Emirats Àrabs Units.
Taula de continguts
El programari maliciós PowerExchange explota el servidor d'intercanvi de la víctima
El programari maliciós PowerExchange estableix la comunicació amb el servidor d'ordres i control (C2) de l'operació d'atac. Aprofita els correus electrònics enviats a través de l'API Exchange Web Services (EWS), utilitzant fitxers adjunts de text dins d'aquests correus electrònics per enviar informació recopilada i rebre ordres codificades en base64. Aquests correus electrònics intenten evitar atraure un escrutini addicional per part de la víctima amb l'assumpte "Actualitza Microsoft Edge".
La utilització del servidor Exchange de la víctima com a canal C2 és una estratègia deliberada emprada pels actors de l'amenaça. Aquest enfocament permet que la porta del darrere es fusioni amb el trànsit legítim, cosa que fa que sigui molt difícil que els mecanismes de detecció i correcció basats en xarxa identifiquin i mitiguin l'amenaça. En camuflar les seves activitats dins de la infraestructura de l'organització, els actors de l'amenaça poden evitar eficaçment la detecció i mantenir una presència encoberta.
La porta posterior de PowerExchange proporciona als operadors un control ampli sobre els servidors compromesos. Els permet executar diverses ordres, inclosa el lliurament de càrregues útils amenaçadores addicionals als servidors compromesos i l'exfiltració dels fitxers recollits. Aquesta versatilitat permet als actors de l'amenaça ampliar el seu abast i dur a terme més activitats nocives dins de l'entorn compromès.
Els implants amenaçadors addicionals es despleguen com a part dels atacs de la porta posterior de PowerExchange
També s'han identificat punts finals compromesos addicionals que contenien diversos altres implants insegurs. En particular, un dels implants descoberts va ser l'intèrpret d'ordres web ExchangeLeech, que s'havia disfressat com un fitxer anomenat System.Web.ServiceAuthentication.dll, adoptant les convencions de denominació associades normalment als fitxers IIS legítims.
ExchangeLeech funciona mitjançant la recopilació activa d'informació sensible, específicament dirigida als noms d'usuari i contrasenyes de les persones que inicien sessió als servidors d'Exchange compromesos mitjançant l'autenticació bàsica. Això s'aconsegueix gràcies a la capacitat de l'intèrpret d'ordres web per supervisar el trànsit HTTP de text clar i capturar credencials de dades de formularis web o capçaleres HTTP.
Per explotar encara més els servidors compromesos, els atacants poden indicar a l'intèrpret d'ordres web que transmeti els registres de credencials recollits mitjançant paràmetres de galetes. Això els permet exfiltrar de manera encoberta les credencials capturades sense despertar sospita.
Els atacs de PowerExchange s'atribueixen al grup de pirates informàtics APT34
Els atacs de PowerExchange s'han atribuït al grup de pirateria iranià patrocinat per l'estat conegut com APT34 o Oilrig. Els investigadors van establir aquesta connexió identificant similituds sorprenents entre el programari maliciós PowerExchange i el programari maliciós TriFive utilitzat anteriorment per APT34 per establir portes posteriors als servidors de les organitzacions governamentals de Kuwait.
Tant PowerExchange com TriFive presenten semblances notables. Tots dos es basen en PowerShell, s'activen mitjançant tasques programades i exploten el servidor Exchange de l'organització mitjançant l'API EWS com a canal C2. Tot i que el codi d'aquestes portes del darrere és clarament diferent, els investigadors especulen que PowerExchange representa una iteració evolucionada i millorada del programari maliciós TriFive.
A més, val la pena esmentar que APT34 utilitza constantment correus electrònics de pesca com a vector d'infecció inicial de les seves operacions d'atac. En atraure les víctimes a interactuar amb contingut no segur o fer clic en enllaços corruptes d'aquests correus electrònics, APT34 s'assenta a l'entorn objectiu, cosa que els permet continuar amb les seves activitats amenaçadores. El fet que l'APT34 hagi violat anteriorment altres entitats dels Emirats Àrabs Units s'afegeix a l'evidència que els vincula amb aquests atacs.
