PowerExchange'i pahavara

Rünnakuoperatsioonide käigus on esile kerkinud äsja tuvastatud pahavara nimega PowerExchange. See uudne tagauks kasutab peamise skriptikeelena PowerShelli. Pahavara kasutati tagauste loomiseks kohapealsetes Microsoft Exchange'i serverites. Ohuga seotud rünnakujuhtumid võivad olla seotud Iraani riigihäkkeritega APT34 (Advanced Persistent Threat).

Ohuosaliste kasutatav ründevektor hõlmas andmepüügimeili kaudu sihitud meiliserverisse tungimist. Meil oli tihendatud arhiiv, mis sisaldas ohustatud käivitatavat faili. Pärast käivitamist võeti kasutusele PowerExchange, mis võimaldas häkkeritel saada volitamata juurdepääsu ja kontrolli ohustatud Microsoft Exchange'i serverite üle. Järgmisena kasutavad ohus osalejad ka ExchangeLeechi nime all jälgitavat veebikest, mis avastati esmakordselt 2020. aastal, võimaldades neil välja filtreerida tundlikke andmeid, keskendudes peamiselt ohustatud Microsoft Exchange'i serveritesse salvestatud kasutaja mandaatide vargustele.

PowerExchange'i pahavara kasutamine koos ExchangeLeechi veebikestaga näitab APT34 poolt ähvardavates tegevustes kasutatavat keerulist taktikat. PowerExchange'i tagaukse avastas Araabia Ühendemiraatides asuva valitsusorganisatsiooni ohustatud süsteemide uurimisrühm.

PowerExchange'i pahavara kasutab ära ohvri Exchange'i serverit

PowerExchange'i pahavara loob side ründeoperatsiooni Command-and-Control (C2) serveriga. See kasutab Exchange Web Services (EWS) API kaudu saadetud meile, kasutades kogutud teabe saatmiseks ja base64-kodeeritud käskude vastuvõtmiseks nendes kirjades sisalduvaid tekstimanuseid. Need e-kirjad püüavad vältida ohvri täiendavat uurimist, kandes teemarea "Microsoft Edge'i värskendamine".

Ohvri Exchange'i serveri kasutamine C2-kanalina on ohus osalejate sihilik strateegia. See lähenemisviis võimaldab tagauksel sulanduda seadusliku liiklusega, muutes võrgupõhiste tuvastamis- ja parandusmehhanismide jaoks ohu tuvastamise ja leevendamise äärmiselt keeruliseks. Varjades oma tegevusi organisatsiooni infrastruktuuris, saavad ohus osalejad tõhusalt vältida avastamist ja säilitada varjatud kohaloleku.

PowerExchange'i tagauks annab operaatoritele ulatusliku kontrolli ohustatud serverite üle. See võimaldab neil täita erinevaid käske, sealhulgas täiendavate ähvardavate koormuste edastamine ohustatud serveritesse ja koristatud failide väljafiltreerimine. See mitmekülgsus annab ohus osalejatele võimaluse laiendada oma haaret ja viia läbi täiendavaid kahjulikke tegevusi ohustatud keskkonnas.

PowerExchange'i tagaukse rünnakute osana kasutatakse täiendavaid ähvardavaid implantaate

Samuti on tuvastatud täiendavaid ohustatud tulemusnäitajaid, mis sisaldasid mitmesuguseid muid ohtlikke implantaate. Üks avastatud implantaatidest oli ExchangeLeechi veebikest, mis oli maskeeritud failiks nimega System.Web.ServiceAuthentication.dll, mis võttis kasutusele seaduslike IIS-failidega tavaliselt seotud nimetamistavad.

ExchangeLeech kogub aktiivselt tundlikku teavet, sihites konkreetselt nende inimeste kasutajanimesid ja paroole, kes logivad põhiautentimist kasutades sisse ohustatud Exchange'i serveritesse. See saavutatakse tänu veebikesta võimele jälgida selgeteksti HTTP-liiklust ja koguda mandaate veebivormi andmetest või HTTP päistest.

Ohustatud serverite edasiseks kasutamiseks saavad ründajad anda veebishellile käsu edastada kogutud mandaadilogid küpsise parameetrite kaudu. See võimaldab neil püütud volikirjadest varjatult välja filtreerida ilma kahtlust äratamata.

PowerExchange'i rünnakud omistatakse APT34 häkkerite rühmale

PowerExchange'i rünnakud on omistatud Iraani riigi toetatavale häkkimisrühmale, mida tuntakse nime all APT34 või Oilrig. Teadlased lõid selle ühenduse, tuvastades silmatorkavaid sarnasusi PowerExchange'i pahavara ja TriFive'i pahavara vahel, mida APT34 varem kasutas Kuveidi valitsusasutuste serverites tagauste loomiseks.

Nii PowerExchange'il kui ka TriFive'il on märkimisväärseid sarnasusi. Need mõlemad põhinevad PowerShellil, aktiveeritakse ajastatud ülesannete kaudu ja kasutavad organisatsiooni Exchange'i serverit, kasutades C2-kanalina EWS API-d. Kuigi nende tagauste kood on selgelt erinev, oletavad teadlased, et PowerExchange kujutab endast TriFive pahavara arenenud ja täiustatud iteratsiooni.

Lisaks väärib mainimist, et APT34 kasutab järjekindlalt andmepüügi e-kirju oma ründeoperatsioonide esialgse nakatumisvektorina. Ahvatledes ohvreid ebaturvalise sisuga suhtlema või klõpsates rikutud linkidel nendes e-kirjades, saavutab APT34 sihitud keskkonnas jalad, võimaldades neil oma ähvardava tegevusega jätkata. Asjaolu, et APT34 on varem rikkunud teisi üksusi Araabia Ühendemiraatides, lisab tõendeid nende rünnakute kohta.