Malware PowerExchange
Un malware appena identificato chiamato PowerExchange è emerso nelle operazioni di attacco. Questa nuova backdoor utilizza PowerShell come linguaggio di scripting principale. Il malware è stato utilizzato per stabilire backdoor sui server Microsoft Exchange in sede. Gli incidenti di attacco che coinvolgono la minaccia potrebbero essere collegati agli hacker statali iraniani APT34 (Advanced Persistent Threat).
Il vettore di attacco utilizzato dagli autori delle minacce prevedeva l'infiltrazione nel server di posta preso di mira tramite un'e-mail di phishing. L'e-mail conteneva un archivio compresso contenente un eseguibile compromesso. Una volta eseguito, PowerExchange è stato implementato, consentendo agli hacker di ottenere l'accesso non autorizzato e il controllo sui server Microsoft Exchange compromessi. Successivamente, gli autori delle minacce utilizzano anche una shell Web tracciata come ExchangeLeech, che è stata scoperta per la prima volta nel 2020, consentendo loro di esfiltrare dati sensibili, concentrandosi principalmente sul furto delle credenziali utente archiviate all'interno dei server Microsoft Exchange compromessi.
L'utilizzo del malware PowerExchange, insieme alla shell Web ExchangeLeech, dimostra le tattiche sofisticate impiegate da APT34 nelle loro attività minacciose. La backdoor di PowerExchange è stata scoperta da un gruppo di ricerca sui sistemi compromessi di un'organizzazione governativa con sede negli Emirati Arabi Uniti.
Sommario
Il malware PowerExchange sfrutta il server Exchange della vittima
Il malware PowerExchange stabilisce la comunicazione con il server di comando e controllo (C2) dell'operazione di attacco. Sfrutta le e-mail inviate tramite l'API Exchange Web Services (EWS), utilizzando allegati di testo all'interno di queste e-mail per inviare le informazioni raccolte e ricevere comandi con codifica Base64. Queste e-mail tentano di evitare di attirare ulteriori controlli da parte della vittima riportando l'oggetto "Aggiorna Microsoft Edge".
L'utilizzo del server Exchange della vittima come canale C2 è una strategia deliberata adottata dagli autori delle minacce. Questo approccio consente alla backdoor di fondersi con il traffico legittimo, rendendo estremamente difficile per i meccanismi di rilevamento e correzione basati sulla rete identificare e mitigare la minaccia. Mimetizzando le proprie attività all'interno dell'infrastruttura dell'organizzazione, gli autori delle minacce possono evitare efficacemente il rilevamento e mantenere una presenza segreta.
La backdoor di PowerExchange fornisce agli operatori un ampio controllo sui server compromessi. Consente loro di eseguire vari comandi, inclusa la consegna di ulteriori payload minacciosi sui server compromessi e l'esfiltrazione di file raccolti. Questa versatilità consente agli attori della minaccia di estendere la propria portata e svolgere ulteriori attività dannose all'interno dell'ambiente compromesso.
Ulteriori impianti minacciosi vengono implementati come parte degli attacchi backdoor di PowerExchange
Sono stati identificati anche ulteriori endpoint compromessi che contenevano vari altri impianti non sicuri. In particolare, uno degli impianti scoperti era la shell Web ExchangeLeech, che era stata mascherata da un file denominato System.Web.ServiceAuthentication.dll, adottando le convenzioni di denominazione tipicamente associate ai file IIS legittimi.
ExchangeLeech opera raccogliendo attivamente informazioni sensibili, prendendo di mira in particolare i nomi utente e le password delle persone che accedono ai server Exchange compromessi utilizzando l'autenticazione di base. Ciò si ottiene grazie alla capacità della shell Web di monitorare il traffico HTTP in testo non crittografato e acquisire le credenziali dai dati dei moduli Web o dalle intestazioni HTTP.
Per sfruttare ulteriormente i server compromessi, gli aggressori possono istruire la shell Web a trasmettere i registri delle credenziali raccolte tramite i parametri dei cookie. Ciò consente loro di esfiltrare di nascosto le credenziali catturate senza destare sospetti.
Gli attacchi PowerExchange sono attribuiti al gruppo di hacker APT34
Gli attacchi di PowerExchange sono stati attribuiti al gruppo di hacking sponsorizzato dallo stato iraniano noto come APT34 o Oilrig. I ricercatori hanno stabilito questa connessione identificando sorprendenti somiglianze tra il malware PowerExchange e il malware TriFive precedentemente utilizzato da APT34 per stabilire backdoor all'interno dei server delle organizzazioni governative kuwaitiane.
Sia PowerExchange che TriFive mostrano notevoli somiglianze. Sono entrambi basati su PowerShell, attivati tramite attività pianificate, e sfruttano il server Exchange dell'organizzazione utilizzando l'API EWS come canale C2. Sebbene il codice di queste backdoor sia chiaramente diverso, i ricercatori ipotizzano che PowerExchange rappresenti un'iterazione evoluta e migliorata del malware TriFive.
Inoltre, vale la pena ricordare che APT34 utilizza costantemente le e-mail di phishing come vettore di infezione iniziale delle proprie operazioni di attacco. Attirando le vittime a interagire con contenuti non sicuri o facendo clic su collegamenti corrotti all'interno di queste e-mail, APT34 ottiene un punto d'appoggio nell'ambiente mirato, consentendo loro di procedere con le loro attività minacciose. Il fatto che APT34 abbia precedentemente violato altre entità negli Emirati Arabi Uniti si aggiunge alle prove che li collegano a questi attacchi.
