بدافزار PowerExchange
یک بدافزار تازه شناسایی شده به نام PowerExchange در عملیات حمله پدیدار شده است. این درپشتی جدید از PowerShell به عنوان زبان برنامه نویسی اصلی خود استفاده می کند. این بدافزار برای ایجاد درهای پشتی در سرورهای مایکروسافت اکسچنج مورد استفاده قرار گرفت. حوادث حمله ای که شامل تهدید می شود می تواند به هکرهای دولتی ایرانی APT34 (تهدید پایدار پیشرفته) مرتبط باشد.
بردار حمله به کار گرفته شده توسط عوامل تهدید شامل نفوذ به سرور ایمیل هدف از طریق ایمیل فیشینگ است. این ایمیل حاوی یک بایگانی فشرده بود که یک فایل اجرایی در معرض خطر را در خود جای داده بود. پس از اجرا، PowerExchange مستقر شد و هکرها را قادر ساخت تا دسترسی و کنترل غیرمجاز بر سرورهای Microsoft Exchange در معرض خطر را به دست آورند. در مرحله بعد، عوامل تهدید همچنین از یک پوسته وب ردیابی شده به عنوان ExchangeLeech استفاده می کنند که برای اولین بار در سال 2020 کشف شد و آنها را قادر می سازد تا داده های حساس را استخراج کنند و در درجه اول بر سرقت اطلاعات کاربری ذخیره شده در سرورهای Microsoft Exchange به خطر افتاده تمرکز کنند.
استفاده از بدافزار PowerExchange، در ارتباط با پوسته وب ExchangeLeech، تاکتیکهای پیچیدهای را که توسط APT34 در فعالیتهای تهدیدآمیز به کار میرود، نشان میدهد. درپشتی PowerExchange توسط یک تیم تحقیقاتی در مورد سیستم های در معرض خطر یک سازمان دولتی مستقر در امارات متحده عربی کشف شد.
فهرست مطالب
بدافزار PowerExchange از سرور تبادل قربانی سوء استفاده می کند
بدافزار PowerExchange با سرور Command-and-Control (C2) عملیات حمله ارتباط برقرار می کند. از ایمیلهای ارسال شده از طریق API خدمات وب Exchange (EWS) استفاده میکند و از پیوستهای متنی درون این ایمیلها برای ارسال اطلاعات جمعآوریشده و دریافت دستورات کدگذاری شده با base64 استفاده میکند. این ایمیلها سعی میکنند با درج موضوع «بهروزرسانی Microsoft Edge» از بررسی بیشتر قربانی جلوگیری کنند.
استفاده از سرور Exchange قربانی به عنوان کانال C2 یک استراتژی عمدی است که توسط عوامل تهدید به کار گرفته شده است. این رویکرد به درب پشتی اجازه می دهد تا با ترافیک قانونی ترکیب شود و شناسایی و کاهش تهدید را برای مکانیسم های تشخیص و اصلاح مبتنی بر شبکه بسیار دشوار می کند. با استتار فعالیت های خود در زیرساخت های سازمان، بازیگران تهدید می توانند به طور موثر از شناسایی اجتناب کنند و حضور پنهانی خود را حفظ کنند.
درپشتی PowerExchange کنترل گسترده ای بر سرورهای در معرض خطر را در اختیار اپراتورها قرار می دهد. آنها را قادر میسازد تا دستورات مختلفی را اجرا کنند، از جمله تحویل بارهای تهدیدکننده اضافی به سرورهای در معرض خطر و خروج فایلهای برداشتشده. این تطبیق پذیری عاملان تهدید را قادر می سازد تا دامنه خود را گسترش دهند و فعالیت های مضر بیشتری را در محیط در معرض خطر انجام دهند.
ایمپلنت های تهدید کننده اضافی به عنوان بخشی از حملات درپشتی PowerExchange مستقر می شوند.
نقاط پایانی در معرض خطر دیگری که حاوی ایمپلنتهای ناامن مختلف دیگری بودند نیز شناسایی شدهاند. قابل ذکر است، یکی از ایمپلنت های کشف شده پوسته وب ExchangeLeech بود که به عنوان فایلی با نام System.Web.ServiceAuthentication.dll مبدل شده بود و از قراردادهای نامگذاری که معمولاً با فایل های IIS قانونی مرتبط است، استفاده می کرد.
ExchangeLeech با جمعآوری فعال اطلاعات حساس عمل میکند، بهویژه نام کاربری و رمز عبور افرادی را که با استفاده از احراز هویت اولیه وارد سرورهای Exchange در معرض خطر میشوند را هدف قرار میدهد. این از طریق توانایی پوسته وب برای نظارت بر ترافیک HTTP متنی واضح و گرفتن اعتبار از دادههای فرم وب یا هدرهای HTTP به دست میآید.
برای بهره برداری بیشتر از سرورهای در معرض خطر، مهاجمان می توانند به پوسته وب دستور دهند تا گزارش های اعتبار جمع آوری شده را از طریق پارامترهای کوکی ارسال کند. این به آنها اجازه می دهد تا بدون ایجاد سوء ظن، به طور مخفیانه از اعتبارنامه های ضبط شده استفاده کنند.
حملات PowerExchange به گروه هکر APT34 نسبت داده می شود
حملات PowerExchange به گروه هکری تحت حمایت دولت ایران موسوم به APT34 یا Oilrig نسبت داده شده است. محققان این ارتباط را با شناسایی شباهتهای چشمگیر بین بدافزار PowerExchange و بدافزار TriFive که قبلاً توسط APT34 برای ایجاد درهای پشتی در سرورهای سازمانهای دولتی کویت استفاده میشد، ایجاد کردند.
هر دو PowerExchange و TriFive شباهت های قابل توجهی از خود نشان می دهند. آنها هر دو بر پایه PowerShell هستند، از طریق وظایف برنامه ریزی شده فعال می شوند و از سرور Exchange سازمان با استفاده از EWS API به عنوان کانال C2 سوء استفاده می کنند. اگرچه کد این درهای پشتی به وضوح متفاوت است، محققان حدس می زنند که PowerExchange نشان دهنده تکرار تکامل یافته و بهبود یافته بدافزار TriFive است.
علاوه بر این، شایان ذکر است که APT34 به طور مداوم از ایمیل های فیشینگ به عنوان ناقل آلودگی اولیه عملیات حمله خود استفاده می کند. با ترغیب قربانیان به تعامل با محتوای ناامن یا کلیک کردن روی پیوندهای خراب در این ایمیلها، APT34 جای پایی در محیط هدف پیدا میکند و آنها را قادر میسازد تا به فعالیتهای تهدیدآمیز خود ادامه دهند. این واقعیت که APT34 قبلاً سایر نهادها در امارات متحده عربی را نقض کرده است، به شواهد مرتبط آنها با این حملات می افزاید.