PowerExchange rosszindulatú program
Egy újonnan azonosított rosszindulatú program, a PowerExchange megjelent a támadási műveletekben. Ez az újszerű hátsó ajtó a PowerShellt használja elsődleges szkriptnyelvként. A rosszindulatú programot arra használták, hogy hátsó ajtókat hozzanak létre a Microsoft Exchange szervereken. A fenyegetéssel járó támadási események az APT34 (Advanced Persistent Threat) iráni állami hackerekhez köthetők.
A fenyegetés szereplői által alkalmazott támadási vektor egy adathalász e-mailen keresztül behatolt a megcélzott levelezőszerverbe. Az e-mail egy tömörített archívumot tartalmazott, amelyben egy kompromittált végrehajtható fájl található. A végrehajtást követően a PowerExchange bevezetésre került, lehetővé téve a hackerek számára, hogy jogosulatlan hozzáférést szerezzenek a feltört Microsoft Exchange-kiszolgálókhoz, és irányítást szerezzenek felettük. Ezután a fenyegetések szereplői egy ExchangeLeech néven nyomon követett webhéjat is használnak, amelyet először 2020-ban fedeztek fel, és lehetővé teszi számukra, hogy kiszűrjék az érzékeny adatokat, elsősorban a feltört Microsoft Exchange szervereken tárolt felhasználói hitelesítő adatok ellopására összpontosítva.
A PowerExchange kártevők használata az ExchangeLeech webhéjjal együtt az APT34 fenyegető tevékenységei során alkalmazott kifinomult taktikát mutatja. A PowerExchange hátsó ajtaját egy kutatócsoport fedezte fel egy Egyesült Arab Emírségekbeli kormányzati szervezet kompromittált rendszerein.
Tartalomjegyzék
A PowerExchange rosszindulatú program kihasználja az áldozat Exchange szerverét
A PowerExchange kártevő kommunikációt létesít a támadási művelet Command-and-Control (C2) szerverével. Kihasználja az Exchange Web Services (EWS) API-n keresztül küldött e-maileket, az e-mailekben található szöveges mellékleteket felhasználva az összegyűjtött információk elküldésére és a base64 kódolású parancsok fogadására. Ezek az e-mailek a „Microsoft Edge frissítése” tárgysorral próbálják elkerülni az áldozat további vizsgálatát.
Az áldozat Exchange szerverének C2 csatornaként való felhasználása a fenyegetés szereplői által alkalmazott tudatos stratégia. Ez a megközelítés lehetővé teszi, hogy a hátsó ajtó beleolvadjon a törvényes forgalomba, ami rendkívül megnehezíti a hálózat alapú észlelési és helyreállítási mechanizmusok számára a fenyegetés azonosítását és mérséklését. Tevékenységének a szervezet infrastruktúráján belüli álcázásával a fenyegetés szereplői hatékonyan elkerülhetik az észlelést és fenntarthatják a rejtett jelenlétet.
A PowerExchange hátsó ajtó kiterjedt ellenőrzést biztosít az üzemeltetőknek a kompromittált szerverek felett. Lehetővé teszi számukra, hogy különféle parancsokat hajtsanak végre, beleértve további fenyegető rakományok szállítását a feltört szerverekre és a betakarított fájlok kiszűrését. Ez a sokoldalúság felhatalmazza a fenyegetett szereplőket arra, hogy kiterjesszék hatókörüket és további káros tevékenységeket hajtsanak végre a veszélyeztetett környezetben.
A PowerExchange Backdoor Attacks részeként további fenyegető implantátumokat telepítenek
További veszélyeztetett végpontokat is azonosítottak, amelyek különféle egyéb nem biztonságos implantátumokat tartalmaztak. Nevezetesen, az egyik felfedezett implantátum az ExchangeLeech Web shell volt, amelyet System.Web.ServiceAuthentication.dll nevű fájlnak álcáztak, és átvette a legitim IIS-fájlokhoz tipikusan kapcsolódó elnevezési szabályokat.
Az ExchangeLeech úgy működik, hogy aktívan gyűjti az érzékeny információkat, különösen azoknak a felhasználóknak a felhasználónevét és jelszavait célozza meg, akik alapvető hitelesítéssel jelentkeznek be a feltört Exchange-kiszolgálókra. Ez azáltal érhető el, hogy a web shell képes figyelni a tiszta szöveges HTTP-forgalmat, és rögzíteni tudja a hitelesítő adatokat a webes űrlapadatokból vagy a HTTP-fejlécekből.
A feltört szerverek további kihasználása érdekében a támadók utasíthatják a webhéjat, hogy a cookie-paramétereken keresztül továbbítsa az összegyűjtött hitelesítő adatok naplóit. Ez lehetővé teszi számukra, hogy gyanakvás nélkül titkosan kiszivárogjanak az elfogott hitelesítő adatokból.
A PowerExchange támadások az APT34 Hacker csoportnak tulajdoníthatók
A PowerExchange támadásokat az iráni állam által támogatott, APT34 vagy Oilrig néven ismert hackercsoportnak tulajdonítják. A kutatók ezt az összefüggést úgy hozták létre, hogy feltűnő hasonlóságokat azonosítottak a PowerExchange malware és a TriFive malware között, amelyet korábban az APT34 használt a kuvaiti kormányzati szervezetek szerverein belüli hátsó ajtók létrehozására.
Mind a PowerExchange, mind a TriFive figyelemre méltó hasonlóságot mutat. Mindkettő PowerShellre épül, ütemezett feladatokon keresztül aktiválódik, és a szervezet Exchange-kiszolgálóját használják ki az EWS API-val C2-csatornaként. Bár ezeknek a hátsó ajtóknak a kódja egyértelműen különbözik, a kutatók azt feltételezik, hogy a PowerExchange a TriFive malware továbbfejlesztett és továbbfejlesztett iterációja.
Ezenkívül érdemes megemlíteni, hogy az APT34 következetesen adathalász e-maileket használ támadási műveletei kezdeti fertőzési vektoraként. Azáltal, hogy az áldozatokat nem biztonságos tartalommal való interakcióra csábítja, vagy az e-mailekben található sérült hivatkozásokra kattintanak, az APT34 megveti a lábát a megcélzott környezetben, lehetővé téve számukra, hogy folytassák fenyegető tevékenységeiket. Az a tény, hogy az APT34 korábban más szervezeteket is megsértett az Egyesült Arab Emírségekben, tovább növeli a bizonyítékokat, amelyek összekapcsolják őket ezekkel a támadásokkal.
