Malware PowerExchange
V útočných operacích se objevil nově identifikovaný malware s názvem PowerExchange. Tato nová zadní vrátka využívá PowerShell jako svůj primární skriptovací jazyk. Malware byl využit k vytvoření zadních vrátek na místních serverech Microsoft Exchange. Incidenty útoků s hrozbou by mohly souviset s íránskými státními hackery APT34 (Advanced Persistent Threat).
Vektor útoku používaný aktéry hrozby zahrnoval infiltraci cílového poštovního serveru prostřednictvím phishingového e-mailu. E-mail obsahoval komprimovaný archiv obsahující kompromitovaný spustitelný soubor. Po spuštění byla nasazena PowerExchange, která umožnila hackerům získat neoprávněný přístup a kontrolu nad napadenými servery Microsoft Exchange. Dále aktéři hrozeb také využívají webový shell sledovaný jako ExchangeLeech, který byl poprvé odhalen v roce 2020, což jim umožňuje exfiltrovat citlivá data, především se zaměřením na krádež uživatelských přihlašovacích údajů uložených na kompromitovaných serverech Microsoft Exchange.
Použití malwaru PowerExchange ve spojení s webovým shellem ExchangeLeech demonstruje sofistikovanou taktiku používanou APT34 při jejich ohrožujících aktivitách. Backdoor PowerExchange objevil výzkumný tým na kompromitovaných systémech vládní organizace se sídlem ve Spojených arabských emirátech.
Obsah
Malware PowerExchange zneužívá Exchange Server oběti
Malware PowerExchange naváže komunikaci se serverem Command-and-Control (C2) útočné operace. Využívá e-maily zasílané prostřednictvím rozhraní Exchange Web Services (EWS) API a využívá textové přílohy v těchto e-mailech k odesílání shromážděných informací a přijímání příkazů zakódovaných v base64. Tyto e-maily se snaží vyhnout tomu, aby přilákaly další zkoumání ze strany oběti tím, že obsahují předmět „Aktualizovat Microsoft Edge“.
Využití Exchange serveru oběti jako kanálu C2 je záměrná strategie používaná aktéry hrozby. Tento přístup umožňuje, aby se zadní vrátka propojila s legitimním provozem, což značně ztěžuje síťovým detekčním a nápravným mechanismům identifikaci a zmírnění hrozby. Zakrytím svých aktivit v rámci infrastruktury organizace se aktéři hrozeb mohou účinně vyhnout detekci a udržovat skrytou přítomnost.
Backdoor PowerExchange poskytuje operátorům rozsáhlou kontrolu nad napadenými servery. Umožňuje jim provádět různé příkazy, včetně doručování dalších ohrožujících dat na napadené servery a exfiltrace sklizených souborů. Tato všestrannost umožňuje aktérům ohrožení rozšířit svůj dosah a provádět další škodlivé činnosti v ohroženém prostředí.
Další ohrožující implantáty jsou nasazeny jako součást Backdoor Attacks PowerExchange
Byly také identifikovány další ohrožené koncové body, které obsahovaly různé jiné nebezpečné implantáty. Jedním z objevených implantátů byl webový shell ExchangeLeech, který byl maskován jako soubor s názvem System.Web.ServiceAuthentication.dll, který přijal konvence pojmenování typicky spojené s legitimními soubory IIS.
ExchangeLeech funguje tak, že aktivně shromažďuje citlivé informace, konkrétně se zaměřuje na uživatelská jména a hesla jednotlivců, kteří se přihlásí na napadené servery Exchange pomocí základního ověřování. Toho je dosaženo prostřednictvím schopnosti webového prostředí monitorovat provoz HTTP ve formátu čistého textu a získávat pověření z dat webových formulářů nebo hlaviček HTTP.
K dalšímu zneužití kompromitovaných serverů mohou útočníci instruovat webový shell, aby přenesl shromážděné protokoly pověření prostřednictvím parametrů souborů cookie. To jim umožňuje skrytě exfiltrovat získané přihlašovací údaje, aniž by vzbudili podezření.
Útoky PowerExchange jsou připisovány skupině APT34 Hacker Group
Útoky PowerExchange byly připsány íránským státem podporovaným hackerským skupinám známé jako APT34 nebo Oilrig. Výzkumníci toto spojení vytvořili identifikací nápadných podobností mezi malwarem PowerExchange a malwarem TriFive, který dříve používal APT34 k vytvoření zadních vrátek na serverech kuvajtských vládních organizací.
Jak PowerExchange, tak TriFive vykazují pozoruhodné podobnosti. Oba jsou založeny na prostředí PowerShell, aktivují se prostřednictvím naplánovaných úloh a využívají server Exchange organizace pomocí rozhraní EWS API jako kanálu C2. Ačkoli je kód těchto zadních vrátek jasně odlišný, výzkumníci spekulují, že PowerExchange představuje vyvinutou a vylepšenou iteraci malwaru TriFive.
Kromě toho stojí za zmínku, že APT34 důsledně využívá phishingové e-maily jako počáteční vektor infekce jejich útočných operací. Tím, že láká oběti k interakci s nebezpečným obsahem nebo klikáním na poškozené odkazy v těchto e-mailech, získává APT34 oporu v cílovém prostředí a umožňuje jim pokračovat v jejich ohrožujících aktivitách. Skutečnost, že APT34 již dříve porušila jiné entity ve Spojených arabských emirátech, přispívá k důkazům, které je spojují s těmito útoky.
