Κακόβουλο λογισμικό PowerExchange
Ένα πρόσφατα εντοπισμένο κακόβουλο λογισμικό με το όνομα PowerExchange εμφανίστηκε σε επιχειρήσεις επίθεσης. Αυτό το νέο backdoor χρησιμοποιεί το PowerShell ως την κύρια γλώσσα δέσμης ενεργειών του. Το κακόβουλο λογισμικό χρησιμοποιήθηκε για τη δημιουργία κερκόπορτων στους διακομιστές του Microsoft Exchange. Τα περιστατικά επίθεσης που περιλαμβάνουν την απειλή θα μπορούσαν να συνδέονται με τους ιρανικούς κρατικούς χάκερ APT34 (Advanced Persistent Threat).
Το διάνυσμα επίθεσης που χρησιμοποιήθηκε από τους παράγοντες απειλής που εμπλέκονται στη διείσδυση στον στοχευμένο διακομιστή αλληλογραφίας μέσω ενός ηλεκτρονικού "ψαρέματος" (phishing) email. Το email περιείχε ένα συμπιεσμένο αρχείο που φιλοξενούσε ένα παραβιασμένο εκτελέσιμο αρχείο. Μόλις εκτελεστεί, το PowerExchange αναπτύχθηκε, επιτρέποντας στους χάκερ να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και έλεγχο στους παραβιασμένους διακομιστές του Microsoft Exchange. Στη συνέχεια, οι φορείς απειλών χρησιμοποιούν επίσης ένα κέλυφος Ιστού που παρακολουθείται ως ExchangeLeech, το οποίο αποκαλύφθηκε για πρώτη φορά το 2020, δίνοντάς τους τη δυνατότητα να εκμεταλλεύονται ευαίσθητα δεδομένα, εστιάζοντας κυρίως στην κλοπή των διαπιστευτηρίων χρήστη που είναι αποθηκευμένα στους παραβιασμένους διακομιστές του Microsoft Exchange.
Η χρήση κακόβουλου λογισμικού PowerExchange, σε συνδυασμό με το κέλυφος Web ExchangeLeech, καταδεικνύει τις εξελιγμένες τακτικές που χρησιμοποιεί η APT34 στις απειλητικές δραστηριότητές της. Η κερκόπορτα του PowerExchange ανακαλύφθηκε από μια ερευνητική ομάδα σχετικά με τα παραβιασμένα συστήματα ενός κυβερνητικού οργανισμού που εδρεύει στα Ηνωμένα Αραβικά Εμιράτα.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό PowerExchange εκμεταλλεύεται τον διακομιστή Exchange του θύματος
Το κακόβουλο λογισμικό PowerExchange δημιουργεί επικοινωνία με τον διακομιστή Command-and-Control (C2) της λειτουργίας επίθεσης. Αξιοποιεί τα μηνύματα ηλεκτρονικού ταχυδρομείου που αποστέλλονται μέσω του API των Υπηρεσιών Ιστού του Exchange (EWS), χρησιμοποιώντας συνημμένα κειμένου σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου για την αποστολή συλλεγόμενων πληροφοριών και τη λήψη εντολών με κωδικοποίηση base64. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προσπαθούν να αποφύγουν την προσέλκυση πρόσθετου ελέγχου από το θύμα φέροντας τη γραμμή θέματος «Ενημέρωση του Microsoft Edge».
Η χρήση του διακομιστή Exchange του θύματος ως καναλιού C2 είναι μια σκόπιμη στρατηγική που χρησιμοποιείται από τους φορείς απειλής. Αυτή η προσέγγιση επιτρέπει στο backdoor να συνδυάζεται με τη νόμιμη κυκλοφορία, καθιστώντας εξαιρετικά δύσκολο για τους μηχανισμούς ανίχνευσης και αποκατάστασης που βασίζονται σε δίκτυο τον εντοπισμό και τον μετριασμό της απειλής. Καμουφλάροντας τις δραστηριότητές του εντός της υποδομής του οργανισμού, οι φορείς απειλής μπορούν αποτελεσματικά να αποφύγουν τον εντοπισμό και να διατηρήσουν μια κρυφή παρουσία.
Η κερκόπορτα του PowerExchange παρέχει στους χειριστές εκτεταμένο έλεγχο των παραβιασμένων διακομιστών. Τους δίνει τη δυνατότητα να εκτελούν διάφορες εντολές, συμπεριλαμβανομένης της παράδοσης επιπρόσθετων απειλητικών ωφέλιμων φορτίων στους διακομιστές που έχουν παραβιαστεί και την εξαγωγή των συγκομισμένων αρχείων. Αυτή η ευελιξία δίνει τη δυνατότητα στους παράγοντες της απειλής να επεκτείνουν την εμβέλειά τους και να πραγματοποιήσουν περαιτέρω επιβλαβείς δραστηριότητες εντός του παραβιασμένου περιβάλλοντος.
Επιπρόσθετα απειλητικά εμφυτεύματα αναπτύσσονται ως μέρος των επιθέσεων Backdoor του PowerExchange
Έχουν επίσης εντοπιστεί πρόσθετα παραβιασμένα τελικά σημεία που περιείχαν διάφορα άλλα μη ασφαλή εμφυτεύματα. Συγκεκριμένα, ένα από τα εμφυτεύματα που ανακαλύφθηκαν ήταν το κέλυφος Web ExchangeLeech, το οποίο είχε μεταμφιεστεί ως αρχείο με το όνομα System.Web.ServiceAuthentication.dll, υιοθετώντας τις συμβάσεις ονομασίας που συνήθως σχετίζονται με νόμιμα αρχεία IIS.
Το ExchangeLeech λειτουργεί συλλέγοντας ενεργά ευαίσθητες πληροφορίες, στοχεύοντας συγκεκριμένα τα ονόματα χρήστη και τους κωδικούς πρόσβασης ατόμων που συνδέονται στους παραβιασμένους διακομιστές Exchange χρησιμοποιώντας βασικό έλεγχο ταυτότητας. Αυτό επιτυγχάνεται μέσω της ικανότητας του κελύφους Ιστού να παρακολουθεί την κυκλοφορία HTTP καθαρού κειμένου και να καταγράφει διαπιστευτήρια από δεδομένα φόρμας Ιστού ή κεφαλίδες HTTP.
Για την περαιτέρω εκμετάλλευση των διακομιστών που έχουν παραβιαστεί, οι εισβολείς μπορούν να δώσουν εντολή στο κέλυφος Ιστού να μεταδώσει τα αρχεία καταγραφής διαπιστευτηρίων που συλλέγονται μέσω παραμέτρων cookie. Αυτό τους επιτρέπει να εκμεταλλεύονται κρυφά τα διαπιστευτήρια που έχουν συλληφθεί χωρίς να προκαλούν υποψίες.
Οι επιθέσεις PowerExchange αποδίδονται στην ομάδα Hacker APT34
Οι επιθέσεις PowerExchange έχουν αποδοθεί στην ιρανική κρατική ομάδα hacking γνωστή ως APT34 ή Oilrig. Οι ερευνητές έκαναν αυτή τη σύνδεση εντοπίζοντας εντυπωσιακές ομοιότητες μεταξύ του κακόβουλου λογισμικού PowerExchange και του κακόβουλου λογισμικού TriFive που χρησιμοποιούσε προηγουμένως η APT34 για τη δημιουργία κερκόπορτων στους διακομιστές κυβερνητικών οργανισμών του Κουβέιτ.
Τόσο το PowerExchange όσο και το TriFive παρουσιάζουν αξιοσημείωτες ομοιότητες. Και οι δύο βασίζονται στο PowerShell, ενεργοποιούνται μέσω προγραμματισμένων εργασιών και εκμεταλλεύονται τον διακομιστή Exchange του οργανισμού χρησιμοποιώντας το EWS API ως κανάλι C2. Αν και ο κώδικας αυτών των backdoors είναι σαφώς διαφορετικός, οι ερευνητές εικάζουν ότι το PowerExchange αντιπροσωπεύει μια εξελιγμένη και βελτιωμένη επανάληψη του κακόβουλου λογισμικού TriFive.
Επιπλέον, αξίζει να αναφερθεί ότι το APT34 χρησιμοποιεί σταθερά μηνύματα ηλεκτρονικού "ψαρέματος" ως αρχικό φορέα μόλυνσης των επιθέσεων τους. Δελεάζοντας τα θύματα να αλληλεπιδράσουν με μη ασφαλές περιεχόμενο ή κάνοντας κλικ σε κατεστραμμένους συνδέσμους σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, το APT34 κερδίζει έδαφος στο στοχευμένο περιβάλλον, επιτρέποντάς τους να συνεχίσουν τις απειλητικές δραστηριότητές τους. Το γεγονός ότι το APT34 είχε προηγουμένως παραβιάσει άλλες οντότητες στα Ηνωμένα Αραβικά Εμιράτα προσθέτει στα στοιχεία που τους συνδέουν με αυτές τις επιθέσεις.
