Zlonamjerni softver PowerExchange
Novootkriveni malware nazvan PowerExchange pojavio se u operacijama napada. Ovaj novi backdoor koristi PowerShell kao primarni skriptni jezik. Zlonamjerni softver korišten je za uspostavljanje stražnjih vrata na lokalnim poslužiteljima Microsoft Exchange. Incidenti napada koji uključuju prijetnju mogli bi se povezati s APT34 (Advanced Persistent Threat) iranskim državnim hakerima.
Vektor napada koji su koristili akteri prijetnje uključivao je infiltraciju u ciljani poslužitelj e-pošte putem phishing e-pošte. E-pošta je sadržavala komprimiranu arhivu u kojoj se nalazila kompromitirana izvršna datoteka. Nakon izvršenja, PowerExchange je implementiran, omogućujući hakerima da dobiju neovlašteni pristup i kontrolu nad ugroženim Microsoft Exchange poslužiteljima. Zatim, akteri prijetnji također koriste web shell praćen kao ExchangeLeech, koji je prvi put otkriven 2020., što im omogućuje eksfiltraciju osjetljivih podataka, prvenstveno fokusirajući se na krađu korisničkih vjerodajnica pohranjenih unutar kompromitiranih Microsoft Exchange poslužitelja.
Korištenje zlonamjernog softvera PowerExchange, u kombinaciji s web-ljuskom ExchangeLeech, pokazuje sofisticiranu taktiku koju koristi APT34 u svojim prijetećim aktivnostima. PowerExchange backdoor otkrio je istraživački tim na kompromitiranim sustavima vladine organizacije sa sjedištem u Ujedinjenim Arapskim Emiratima.
Sadržaj
Zlonamjerni softver PowerExchange iskorištava žrtvin Exchange poslužitelj
Zlonamjerni softver PowerExchange uspostavlja komunikaciju s Command-and-Control (C2) poslužiteljem operacije napada. Iskorištava e-poštu poslanu putem API-ja Exchange Web Services (EWS), koristeći tekstualne privitke unutar te e-pošte za slanje prikupljenih informacija i primanje naredbi kodiranih base64. Ove poruke e-pošte pokušavaju izbjeći privlačenje dodatnog nadzora od strane žrtve noseći redak predmeta "Ažuriraj Microsoft Edge".
Korištenje žrtvinog Exchange poslužitelja kao C2 kanala je namjerna strategija koju koriste prijetnje. Ovaj pristup omogućuje backdooru da se stopi s legitimnim prometom, što izuzetno otežava mrežnim mehanizmima otkrivanja i popravljanja da identificiraju i ublaže prijetnju. Kamuflirajući svoje aktivnosti unutar organizacijske infrastrukture, akteri prijetnje mogu učinkovito izbjeći otkrivanje i zadržati tajnu prisutnost.
PowerExchange backdoor pruža operaterima opsežnu kontrolu nad ugroženim poslužiteljima. Omogućuje im izvršavanje različitih naredbi, uključujući isporuku dodatnih prijetećih sadržaja na kompromitirane poslužitelje i eksfiltraciju prikupljenih datoteka. Ova svestranost osnažuje aktere prijetnji da prošire svoj doseg i provedu daljnje štetne aktivnosti unutar ugroženog okruženja.
Dodatni prijeteći implantati raspoređeni su kao dio backdoor napada PowerExchange
Identificirane su i dodatne kompromitirane krajnje točke koje su sadržavale razne druge nesigurne implantate. Značajno je da je jedan od otkrivenih implantata bio ExchangeLeech Web shell, koji je bio prerušen u datoteku pod nazivom System.Web.ServiceAuthentication.dll, usvajajući konvencije imenovanja koje se obično povezuju s legitimnim IIS datotekama.
ExchangeLeech radi aktivnim prikupljanjem osjetljivih informacija, posebno ciljajući na korisnička imena i lozinke pojedinaca koji se prijavljuju na kompromitirane Exchange poslužitelje koristeći osnovnu provjeru autentičnosti. To se postiže sposobnošću web ljuske da nadzire HTTP promet čistim tekstom i uhvati vjerodajnice iz podataka web obrazaca ili HTTP zaglavlja.
Kako bi dodatno iskoristili kompromitirane poslužitelje, napadači mogu uputiti web ljusku da prenese prikupljene zapise vjerodajnica putem parametara kolačića. To im omogućuje da potajno izvuku zarobljene vjerodajnice bez izazivanja sumnje.
Napadi na PowerExchange pripisuju se hakerskoj skupini APT34
Napadi na PowerExchange pripisani su iranskoj državno sponzoriranoj hakerskoj skupini poznatoj kao APT34 ili Oilrig. Istraživači su uspostavili ovu vezu identificirajući zapanjujuće sličnosti između zlonamjernog softvera PowerExchange i zlonamjernog softvera TriFive koji je prethodno koristio APT34 za uspostavljanje stražnjih vrata unutar poslužitelja kuvajtskih vladinih organizacija.
I PowerExchange i TriFive pokazuju značajne sličnosti. Oba se temelje na PowerShell-u, aktiviraju se putem zakazanih zadataka i iskorištavaju Exchange poslužitelj organizacije koristeći EWS API kao C2 kanal. Iako je kod ovih stražnjih vrata jasno drugačiji, istraživači nagađaju da PowerExchange predstavlja razvijenu i poboljšanu iteraciju zlonamjernog softvera TriFive.
Nadalje, vrijedno je spomenuti da APT34 dosljedno koristi phishing e-poštu kao početni vektor infekcije svojih operacija napada. Navodeći žrtve na interakciju s nesigurnim sadržajem ili klikanjem na pokvarene poveznice unutar tih poruka e-pošte, APT34 stječe uporište u ciljanom okruženju, omogućujući im da nastave sa svojim prijetećim aktivnostima. Činjenica da je APT34 prethodno provalio u druge entitete u Ujedinjenim Arapskim Emiratima dodaje dokaze koji ih povezuju s ovim napadima.
