תוכנת זדונית PowerExchange
תוכנה זדונית שזוהתה לאחרונה בשם PowerExchange הופיעה בפעולות התקפה. דלת אחורית חדשנית זו משתמשת ב-PowerShell כשפת הסקריפט העיקרית שלה. התוכנה הזדונית נוצלה ליצירת דלתות אחוריות בשרתי Microsoft Exchange המקומיים. אירועי התקיפה הכוללים את האיום עשויים להיות קשורים להאקרים האיראניים של המדינה APT34 (Advanced Persistent Threat).
וקטור ההתקפה שהופעל על ידי שחקני האיום כלל חדירת שרת הדואר הממוקד באמצעות דואר דיוג. המייל הכיל ארכיון דחוס המכיל קובץ הפעלה שנפגע. לאחר ביצוע, PowerExchange נפרס, מה שאפשר להאקרים לקבל גישה ושליטה בלתי מורשית על שרתי Microsoft Exchange שנפגעו. בשלב הבא, גורמי האיום משתמשים גם במעטפת רשת המלווה כ-ExchangeLeech, אשר נחשפה לראשונה בשנת 2020, מה שמאפשר להם לחלץ נתונים רגישים, בעיקר תוך התמקדות בגניבה של אישורי משתמש המאוחסנים בשרתי Microsoft Exchange שנפגעו.
השימוש בתוכנה זדונית של PowerExchange, בשילוב עם מעטפת הרשת של ExchangeLeech, מדגים את הטקטיקות המתוחכמות שמשתמש APT34 בפעילויות המאיימות שלהם. הדלת האחורית של PowerExchange התגלתה על ידי צוות מחקר על המערכות שנפגעו של ארגון ממשלתי שבסיסו באיחוד האמירויות הערביות.
תוכן העניינים
התוכנה הזדונית של PowerExchange מנצלת את שרת ה-Exchange של הקורבן
התוכנה הזדונית PowerExchange מייצרת תקשורת עם שרת Command-and-Control (C2) של פעולת ההתקפה. הוא ממנף הודעות דוא"ל שנשלחות דרך ה-API של Exchange Web Services (EWS), תוך שימוש בקבצי טקסט בתוך הודעות דוא"ל אלה כדי לשלוח מידע שנאסף ולקבל פקודות מקודדות base64. הודעות דוא"ל אלו מנסות להימנע מלמשוך בדיקה נוספת על ידי הקורבן על ידי הצגת שורת הנושא 'עדכן את Microsoft Edge'.
השימוש בשרת ה-Exchange של הקורבן כערוץ C2 הוא אסטרטגיה מכוונת של גורמי האיום. גישה זו מאפשרת לדלת האחורית להשתלב עם תעבורה לגיטימית, מה שמקשה מאוד על מנגנוני זיהוי ותיקון מבוססי רשת לזהות ולהפחית את האיום. על ידי הסוואה של פעילותו בתוך תשתית הארגון, יכולים גורמי האיום להימנע מגילוי ולשמור על נוכחות סמויה.
הדלת האחורית של PowerExchange מספקת למפעילים שליטה נרחבת על השרתים שנפגעו. זה מאפשר להם לבצע פקודות שונות, כולל מסירת מטענים מאיימים נוספים לשרתים שנפגעו וחילוץ של קבצים שנאספו. רבגוניות זו מעצימה את גורמי האיום להרחיב את טווח ההגעה שלהם ולבצע פעילויות מזיקות נוספות בתוך הסביבה הנפגעת.
שתלים מאיימים נוספים נפרסים כחלק מהתקפות הדלת האחורית של PowerExchange
זוהו גם נקודות קצה נוספות שהכילו שתלים לא בטוחים אחרים. יש לציין שאחד השתלים שהתגלו היה מעטפת הרשת של ExchangeLeech, שהוסווה לקובץ בשם System.Web.ServiceAuthentication.dll, המאמצת את מוסכמות השמות המשויכות בדרך כלל לקבצי IIS לגיטימיים.
ExchangeLeech פועלת על ידי איסוף פעיל של מידע רגיש, תוך מיקוד ספציפי לשמות המשתמש והסיסמאות של אנשים שנכנסים לשרתי Exchange שנפגעו באמצעות אימות בסיסי. זה מושג באמצעות היכולת של מעטפת האינטרנט לנטר תעבורת HTTP של טקסט ברור וללכוד אישורים מנתוני טופס אינטרנט או כותרות HTTP.
כדי לנצל עוד יותר את השרתים שנפרצו, התוקפים יכולים להורות למעטפת האינטרנט להעביר את יומני האישורים שנאספו באמצעות פרמטרים של קובצי Cookie. זה מאפשר להם לחלץ בחשאי את האישורים שנתפסו מבלי לעורר חשד.
התקפות PowerExchange מיוחסות לקבוצת ההאקרים APT34
התקפות PowerExchange יוחסו לקבוצת הפריצה בחסות המדינה האיראנית המכונה APT34 או Oilrig. החוקרים יצרו את הקשר הזה על ידי זיהוי קווי דמיון מרשימים בין תוכנת הזדונית PowerExchange לבין התוכנה הזדונית TriFive ששימשה בעבר על ידי APT34 כדי ליצור דלתות אחוריות בתוך שרתי הארגונים הממשלתיים של כווית.
גם PowerExchange וגם TriFive מפגינים דמיון בול. שניהם מבוססים על PowerShell, מופעלים באמצעות משימות מתוזמנות, ומנצלים את שרת ה-Exchange של הארגון באמצעות EWS API כערוץ C2. למרות שהקוד של הדלתות האחוריות הללו שונה בבירור, החוקרים משערים ש-PowerExchange מייצג איטרציה מפותחת ומשופרת של התוכנה הזדונית TriFive.
יתר על כן, ראוי להזכיר כי APT34 משתמשת באופן עקבי בדוא"ל דיוג בתור וקטור זיהום ראשוני של פעולות ההתקפה שלהם. על ידי פיתוי קורבנות לקיים אינטראקציה עם תוכן לא בטוח או לחיצה על קישורים פגומים בתוך הודעות דוא"ל אלה, APT34 מקבל דריסת רגל בסביבה הממוקדת, ומאפשר להם להמשיך בפעילויות המאיימות שלהם. העובדה ש-APT34 פרצה בעבר ישויות אחרות באיחוד האמירויות, מוסיפה לראיות הקושרות אותם להתקפות אלו.
