PowerExchange Malware
En nyligt identificeret malware ved navn PowerExchange er dukket op i angrebsoperationer. Denne nye bagdør anvender PowerShell som sit primære scriptsprog. Malwaren blev brugt til at etablere bagdøre på de lokale Microsoft Exchange-servere. Angrebshændelserne, der involverer truslen, kan være forbundet med APT34 (Advanced Persistent Threat) iranske statshackere.
Angrebsvektoren anvendt af trusselsaktørerne involverede infiltration af den målrettede mailserver gennem en phishing-e-mail. E-mailen indeholdt et komprimeret arkiv med en kompromitteret eksekverbar fil. Da PowerExchange var blevet udført, blev PowerExchange implementeret, hvilket gjorde det muligt for hackerne at få uautoriseret adgang og kontrol over de kompromitterede Microsoft Exchange-servere. Dernæst bruger trusselsaktørerne også en web-shell sporet som ExchangeLeech, som først blev afsløret i 2020, hvilket gør dem i stand til at eksfiltrere følsomme data, primært med fokus på tyveri af brugeroplysninger gemt på de kompromitterede Microsoft Exchange-servere.
Brugen af PowerExchange malware, sammen med ExchangeLeech Web shell, demonstrerer den sofistikerede taktik, som APT34 anvender i deres truende aktiviteter. PowerExchange-bagdøren blev opdaget af et forskerhold om de kompromitterede systemer i en regeringsorganisation baseret i De Forenede Arabiske Emirater.
Indholdsfortegnelse
PowerExchange-malwaren udnytter offerets Exchange-server
PowerExchange-malwaren etablerer kommunikation med Command-and-Control-serveren (C2) for angrebsoperationen. Det udnytter e-mails sendt gennem Exchange Web Services (EWS) API, ved at bruge tekstvedhæftninger i disse e-mails til at sende indsamlet information og modtage base64-kodede kommandoer. Disse e-mails forsøger at undgå at tiltrække yderligere undersøgelse af offeret ved at bære emnelinjen 'Opdater Microsoft Edge'.
Anvendelsen af ofrets Exchange-server som C2-kanal er en bevidst strategi anvendt af trusselsaktørerne. Denne tilgang tillader bagdøren at blande sig med legitim trafik, hvilket gør det overordentlig vanskeligt for netværksbaserede detektions- og afhjælpningsmekanismer at identificere og afbøde truslen. Ved at camouflere sine aktiviteter inden for organisationens infrastruktur kan trusselsaktørerne effektivt undgå opdagelse og opretholde en skjult tilstedeværelse.
PowerExchange-bagdøren giver operatørerne omfattende kontrol over de kompromitterede servere. Det sætter dem i stand til at udføre forskellige kommandoer, herunder levering af yderligere truende nyttelaster til de kompromitterede servere og eksfiltrering af høstede filer. Denne alsidighed giver trusselsaktørerne mulighed for at udvide deres rækkevidde og udføre yderligere skadelige aktiviteter i det kompromitterede miljø.
Yderligere truende implantater er implementeret som en del af PowerExchange-bagdørsangrebene
Yderligere kompromitterede endepunkter, der indeholdt forskellige andre usikre implantater, er også blevet identificeret. Et af de opdagede implantater var ExchangeLeech Web-skallen, der var blevet forklædt som en fil ved navn System.Web.ServiceAuthentication.dll, der overtog de navnekonventioner, der typisk er forbundet med legitime IIS-filer.
ExchangeLeech opererer ved aktivt at indsamle følsomme oplysninger, specifikt målrettet mod brugernavne og adgangskoder for personer, der logger ind på de kompromitterede Exchange-servere ved hjælp af grundlæggende godkendelse. Dette opnås gennem web-skallens evne til at overvåge klar tekst HTTP-trafik og fange legitimationsoplysninger fra webformulardata eller HTTP-headere.
For yderligere at udnytte de kompromitterede servere kan angriberne instruere web-shellen til at overføre de indsamlede legitimationslogfiler via cookieparametre. Dette giver dem mulighed for skjult at eksfiltrere de fangede legitimationsoplysninger uden at vække mistanke.
PowerExchange-angrebene tilskrives APT34 Hacker Group
PowerExchange-angrebene er blevet tilskrevet den iranske statssponserede hackergruppe kendt som APT34 eller Oilrig. Forskerne skabte denne forbindelse ved at identificere slående ligheder mellem PowerExchange-malwaren og TriFive-malwaren, som tidligere blev brugt af APT34 til at etablere bagdøre inden for kuwaitiske regeringsorganisationers servere.
Både PowerExchange og TriFive udviser bemærkelsesværdige ligheder. De er begge baseret på PowerShell, aktiveret gennem planlagte opgaver og udnytter organisationens Exchange-server ved at bruge EWS API som C2-kanal. Selvom koden for disse bagdøre klart er anderledes, spekulerer forskerne i, at PowerExchange repræsenterer en udviklet og forbedret iteration af TriFive-malwaren.
Desuden er det værd at nævne, at APT34 konsekvent anvender phishing-e-mails som en indledende infektionsvektor for deres angrebsoperationer. Ved at lokke ofre til at interagere med usikkert indhold eller klikke på korrupte links i disse e-mails, får APT34 fodfæste i det målrettede miljø, hvilket gør dem i stand til at fortsætte med deres truende aktiviteter. Det faktum, at APT34 tidligere har krænket andre enheder i De Forenede Arabiske Emirater, tilføjer beviserne, der forbinder dem med disse angreb.
