PowerExchange-haittaohjelma
Hiljattain tunnistettu PowerExchange-niminen haittaohjelma on ilmaantunut hyökkäystoimiin. Tämä uusi takaovi käyttää PowerShellia ensisijaisena komentosarjakielenä. Haittaohjelmaa käytettiin perustamaan takaovia paikan päällä oleville Microsoft Exchange -palvelimille. Uhkaan liittyvät hyökkäystapahtumat voivat liittyä Iranin valtion hakkereihin APT34 (Advanced Persistent Threat).
Uhkatoimijoiden käyttämä hyökkäysvektori sisälsi soluttautumisen kohteena olevalle sähköpostipalvelimelle tietojenkalasteluviestin kautta. Sähköposti sisälsi pakatun arkiston, joka sisälsi vaarantuneen suoritettavan tiedoston. Kun PowerExchange oli suoritettu, se otettiin käyttöön, jolloin hakkerit pääsivät luvatta ja hallita vaarantuneita Microsoft Exchange -palvelimia. Seuraavaksi uhkatoimijat käyttävät myös ExchangeLeechin jäljitettyä Web-kuorta, joka paljastettiin ensimmäisen kerran vuonna 2020 ja jonka avulla he voivat suodattaa arkaluontoisia tietoja keskittyen ensisijaisesti vaarantuneisiin Microsoft Exchange -palvelimiin tallennettujen käyttäjätietojen varkauksiin.
PowerExchange-haittaohjelmien käyttö yhdessä ExchangeLeech Web -kuoren kanssa osoittaa APT34:n uhkaavissa toimissaan käyttämiä hienostuneita taktiikoita. PowerExchange-takaoven löysi Yhdistyneissä arabiemiirikunnissa toimivan hallitusorganisaation vaarantuneita järjestelmiä tutkiva tutkimusryhmä.
Sisällysluettelo
PowerExchange-haittaohjelma hyödyntää uhrin Exchange-palvelinta
PowerExchange-haittaohjelma muodostaa yhteyden hyökkäysoperaation Command-and-Control (C2) -palvelimeen. Se hyödyntää Exchange Web Services (EWS) API:n kautta lähetettyjä sähköposteja ja käyttää näiden sähköpostien tekstiliitteitä kerättyjen tietojen lähettämiseen ja base64-koodattujen komentojen vastaanottamiseen. Näillä sähköpostiviesteillä yritetään välttää uhrin lisätarkkailua, sillä niiden otsikko on "Päivitä Microsoft Edge".
Uhrin Exchange-palvelimen hyödyntäminen C2-kanavana on uhkatoimijoiden tietoinen strategia. Tämä lähestymistapa mahdollistaa takaoven sulautumisen lailliseen liikenteeseen, mikä tekee verkkopohjaisten tunnistus- ja korjausmekanismien äärimmäisen vaikeaksi tunnistaa ja lieventää uhkaa. Naamioimalla sen toiminnan organisaation infrastruktuurissa uhkatoimijat voivat tehokkaasti välttää havaitsemisen ja ylläpitää peiteltyä läsnäoloa.
PowerExchange-takaovi tarjoaa operaattoreille laajan hallinnan vaarantuneisiin palvelimiin. Sen avulla he voivat suorittaa erilaisia komentoja, mukaan lukien ylimääräisten uhkaavien hyötykuormien toimittaminen vaarantuneille palvelimille ja kerättyjen tiedostojen suodattaminen. Tämä monipuolisuus antaa uhkatoimijoille mahdollisuuden laajentaa ulottuvuuttaan ja suorittaa lisää haitallisia toimia vaarantuneessa ympäristössä.
Muita uhkaavia implantteja käytetään osana PowerExchangen takaoven hyökkäyksiä
On myös tunnistettu muita vaarantuneita päätepisteitä, jotka sisälsivät useita muita vaarallisia implantteja. Erityisesti yksi löydetyistä implanteista oli ExchangeLeech Web -kuori, joka oli naamioitu System.Web.ServiceAuthentication.dll-nimiseen tiedostoon, joka omaksui laillisiin IIS-tiedostoihin tyypillisesti liittyvät nimeämiskäytännöt.
ExchangeLeech kerää aktiivisesti arkaluontoisia tietoja ja kohdistuu erityisesti niiden henkilöiden käyttäjätunnuksiin ja salasanoihin, jotka kirjautuvat vaarantuneisiin Exchange-palvelimiin käyttämällä perustodennusta. Tämä saavutetaan Web-kuoren kyvyllä valvoa selkeän tekstin HTTP-liikennettä ja kaapata valtuustietoja verkkolomakkeen tiedoista tai HTTP-otsikoista.
Hyödyntämään vaarantuneita palvelimia edelleen, hyökkääjät voivat ohjeistaa Web-kuoren lähettämään kerätyt tunnistetiedot evästeparametrien avulla. Näin he voivat salaa suodattaa vangitut valtakirjat herättämättä epäilyksiä.
PowerExchange-hyökkäykset kuuluvat APT34-hakkeriryhmään
PowerExchange-hyökkäykset on katsottu Iranin valtion tukeman hakkerointiryhmän APT34:ksi tai Oilrigiksi. Tutkijat tekivät tämän yhteyden tunnistamalla silmiinpistäviä yhtäläisyyksiä PowerExchange-haittaohjelman ja APT34:n aiemmin käyttämän TriFive-haittaohjelman välillä luodakseen takaovia Kuwaitin hallituksen organisaatioiden palvelimille.
Sekä PowerExchange että TriFive osoittavat huomattavia yhtäläisyyksiä. Molemmat perustuvat PowerShelliin, aktivoituvat ajoitettujen tehtävien kautta ja hyödyntävät organisaation Exchange-palvelinta käyttämällä EWS-sovellusliittymää C2-kanavana. Vaikka näiden takaovien koodi on selvästi erilainen, tutkijat spekuloivat, että PowerExchange edustaa kehittynyttä ja parannettua TriFive-haittaohjelman iteraatiota.
Lisäksi on syytä mainita, että APT34 käyttää johdonmukaisesti phishing-sähköposteja hyökkäystoimintojensa alkuperäisenä tartuntavektorina. Houkuttelemalla uhreja olemaan vuorovaikutuksessa vaarallisen sisällön kanssa tai napsauttamalla näissä sähköpostiviesteissä olevia vioittuneita linkkejä, APT34 saa jalansijaa kohdeympäristössä, jolloin he voivat jatkaa uhkaavaa toimintaansa. Se, että APT34 on aiemmin loukannut muita yhteisöjä Yhdistyneissä arabiemiirikunnissa, lisää todisteita, jotka yhdistävät ne näihin hyökkäyksiin.
