بدافزار PowerExchange

یک بدافزار تازه شناسایی شده به نام PowerExchange در عملیات حمله پدیدار شده است. این درپشتی جدید از PowerShell به عنوان زبان برنامه نویسی اصلی خود استفاده می کند. این بدافزار برای ایجاد درهای پشتی در سرورهای مایکروسافت اکسچنج مورد استفاده قرار گرفت. حوادث حمله ای که شامل تهدید می شود می تواند به هکرهای دولتی ایرانی APT34 (تهدید پایدار پیشرفته) مرتبط باشد.

بردار حمله به کار گرفته شده توسط عوامل تهدید شامل نفوذ به سرور ایمیل هدف از طریق ایمیل فیشینگ است. این ایمیل حاوی یک بایگانی فشرده بود که یک فایل اجرایی در معرض خطر را در خود جای داده بود. پس از اجرا، PowerExchange مستقر شد و هکرها را قادر ساخت تا دسترسی و کنترل غیرمجاز بر سرورهای Microsoft Exchange در معرض خطر را به دست آورند. در مرحله بعد، عوامل تهدید همچنین از یک پوسته وب ردیابی شده به عنوان ExchangeLeech استفاده می کنند که برای اولین بار در سال 2020 کشف شد و آنها را قادر می سازد تا داده های حساس را استخراج کنند و در درجه اول بر سرقت اطلاعات کاربری ذخیره شده در سرورهای Microsoft Exchange به خطر افتاده تمرکز کنند.

استفاده از بدافزار PowerExchange، در ارتباط با پوسته وب ExchangeLeech، تاکتیک‌های پیچیده‌ای را که توسط APT34 در فعالیت‌های تهدیدآمیز به کار می‌رود، نشان می‌دهد. درپشتی PowerExchange توسط یک تیم تحقیقاتی در مورد سیستم های در معرض خطر یک سازمان دولتی مستقر در امارات متحده عربی کشف شد.

بدافزار PowerExchange از سرور تبادل قربانی سوء استفاده می کند

بدافزار PowerExchange با سرور Command-and-Control (C2) عملیات حمله ارتباط برقرار می کند. از ایمیل‌های ارسال شده از طریق API خدمات وب Exchange (EWS) استفاده می‌کند و از پیوست‌های متنی درون این ایمیل‌ها برای ارسال اطلاعات جمع‌آوری‌شده و دریافت دستورات کدگذاری شده با base64 استفاده می‌کند. این ایمیل‌ها سعی می‌کنند با درج موضوع «به‌روزرسانی Microsoft Edge» از بررسی بیشتر قربانی جلوگیری کنند.

استفاده از سرور Exchange قربانی به عنوان کانال C2 یک استراتژی عمدی است که توسط عوامل تهدید به کار گرفته شده است. این رویکرد به درب پشتی اجازه می دهد تا با ترافیک قانونی ترکیب شود و شناسایی و کاهش تهدید را برای مکانیسم های تشخیص و اصلاح مبتنی بر شبکه بسیار دشوار می کند. با استتار فعالیت های خود در زیرساخت های سازمان، بازیگران تهدید می توانند به طور موثر از شناسایی اجتناب کنند و حضور پنهانی خود را حفظ کنند.

درپشتی PowerExchange کنترل گسترده ای بر سرورهای در معرض خطر را در اختیار اپراتورها قرار می دهد. آن‌ها را قادر می‌سازد تا دستورات مختلفی را اجرا کنند، از جمله تحویل بارهای تهدیدکننده اضافی به سرورهای در معرض خطر و خروج فایل‌های برداشت‌شده. این تطبیق پذیری عاملان تهدید را قادر می سازد تا دامنه خود را گسترش دهند و فعالیت های مضر بیشتری را در محیط در معرض خطر انجام دهند.

ایمپلنت های تهدید کننده اضافی به عنوان بخشی از حملات درپشتی PowerExchange مستقر می شوند.

نقاط پایانی در معرض خطر دیگری که حاوی ایمپلنت‌های ناامن مختلف دیگری بودند نیز شناسایی شده‌اند. قابل ذکر است، یکی از ایمپلنت های کشف شده پوسته وب ExchangeLeech بود که به عنوان فایلی با نام System.Web.ServiceAuthentication.dll مبدل شده بود و از قراردادهای نامگذاری که معمولاً با فایل های IIS قانونی مرتبط است، استفاده می کرد.

ExchangeLeech با جمع‌آوری فعال اطلاعات حساس عمل می‌کند، به‌ویژه نام کاربری و رمز عبور افرادی را که با استفاده از احراز هویت اولیه وارد سرورهای Exchange در معرض خطر می‌شوند را هدف قرار می‌دهد. این از طریق توانایی پوسته وب برای نظارت بر ترافیک HTTP متنی واضح و گرفتن اعتبار از داده‌های فرم وب یا هدرهای HTTP به دست می‌آید.

برای بهره برداری بیشتر از سرورهای در معرض خطر، مهاجمان می توانند به پوسته وب دستور دهند تا گزارش های اعتبار جمع آوری شده را از طریق پارامترهای کوکی ارسال کند. این به آنها اجازه می دهد تا بدون ایجاد سوء ظن، به طور مخفیانه از اعتبارنامه های ضبط شده استفاده کنند.

حملات PowerExchange به گروه هکر APT34 نسبت داده می شود

حملات PowerExchange به گروه هکری تحت حمایت دولت ایران موسوم به APT34 یا Oilrig نسبت داده شده است. محققان این ارتباط را با شناسایی شباهت‌های چشمگیر بین بدافزار PowerExchange و بدافزار TriFive که قبلاً توسط APT34 برای ایجاد درهای پشتی در سرورهای سازمان‌های دولتی کویت استفاده می‌شد، ایجاد کردند.

هر دو PowerExchange و TriFive شباهت های قابل توجهی از خود نشان می دهند. آنها هر دو بر پایه PowerShell هستند، از طریق وظایف برنامه ریزی شده فعال می شوند و از سرور Exchange سازمان با استفاده از EWS API به عنوان کانال C2 سوء استفاده می کنند. اگرچه کد این درهای پشتی به وضوح متفاوت است، محققان حدس می زنند که PowerExchange نشان دهنده تکرار تکامل یافته و بهبود یافته بدافزار TriFive است.

علاوه بر این، شایان ذکر است که APT34 به طور مداوم از ایمیل های فیشینگ به عنوان ناقل آلودگی اولیه عملیات حمله خود استفاده می کند. با ترغیب قربانیان به تعامل با محتوای ناامن یا کلیک کردن روی پیوندهای خراب در این ایمیل‌ها، APT34 جای پایی در محیط هدف پیدا می‌کند و آنها را قادر می‌سازد تا به فعالیت‌های تهدیدآمیز خود ادامه دهند. این واقعیت که APT34 قبلاً سایر نهادها در امارات متحده عربی را نقض کرده است، به شواهد مرتبط آنها با این حملات می افزاید.