PowerExchange 맬웨어

PowerExchange라는 새로 식별된 맬웨어가 공격 작업에 등장했습니다. 이 새로운 백도어는 PowerShell을 기본 스크립팅 언어로 사용합니다. 이 악성코드는 온프레미스 Microsoft Exchange 서버에 백도어를 설정하는 데 사용되었습니다. 위협과 관련된 공격 사건은 APT34 (Advanced Persistent Threat) 이란 국가 해커와 연결될 수 있습니다.

공격자가 사용하는 공격 벡터는 피싱 이메일을 통해 대상 메일 서버에 침투하는 것과 관련이 있습니다. 이메일에는 손상된 실행 파일이 들어 있는 압축 아카이브가 포함되어 있습니다. PowerExchange가 실행되면 해커가 손상된 Microsoft Exchange 서버에 대한 무단 액세스 및 제어 권한을 얻을 수 있도록 배포되었습니다. 다음으로 위협 행위자는 2020년에 처음 발견된 ExchangeLeech로 추적되는 웹 셸을 활용하여 민감한 데이터를 유출할 수 있으며 주로 손상된 Microsoft Exchange 서버에 저장된 사용자 자격 증명을 훔치는 데 집중합니다.

ExchangeLeech 웹 셸과 함께 PowerExchange 맬웨어를 사용하는 것은 APT34가 위협 활동에 사용하는 정교한 전술을 보여줍니다. PowerExchange 백도어는 아랍 에미레이트에 기반을 둔 정부 기관의 손상된 시스템에 대한 연구팀에 의해 발견되었습니다.

PowerExchange 맬웨어는 피해자의 Exchange 서버를 악용합니다.

PowerExchange 맬웨어는 공격 작업의 명령 및 제어(C2) 서버와 통신을 설정합니다. EWS(Exchange Web Services) API를 통해 전송된 이메일을 활용하고 이러한 이메일 내의 텍스트 첨부 파일을 활용하여 수집된 정보를 보내고 base64로 인코딩된 명령을 수신합니다. 이러한 이메일은 'Microsoft Edge 업데이트'라는 제목으로 피해자의 추가 조사를 피하려고 시도합니다.

피해자의 Exchange 서버를 C2 채널로 활용하는 것은 공격자가 의도적으로 사용하는 전략입니다. 이 접근 방식은 백도어가 합법적인 트래픽과 섞일 수 있도록 하여 네트워크 기반 탐지 및 치료 메커니즘이 위협을 식별하고 완화하는 것을 매우 어렵게 만듭니다. 조직의 인프라 내에서 활동을 위장함으로써 공격자는 효과적으로 탐지를 피하고 은밀한 존재를 유지할 수 있습니다.

PowerExchange 백도어는 운영자에게 손상된 서버에 대한 광범위한 제어 기능을 제공합니다. 이를 통해 공격자는 손상된 서버에 추가로 위협적인 페이로드를 전달하고 수집된 파일을 유출하는 등 다양한 명령을 실행할 수 있습니다. 이러한 다재다능함은 공격자가 공격 범위를 확장하고 손상된 환경 내에서 추가로 유해한 활동을 수행할 수 있도록 합니다.

위협적인 추가 임플란트가 PowerExchange 백도어 공격의 일부로 배치되었습니다.

다양한 기타 안전하지 않은 임플란트가 포함된 추가적인 손상된 엔드포인트도 식별되었습니다. 특히 발견된 임플란트 중 하나는 일반적으로 합법적인 IIS 파일과 관련된 명명 규칙을 채택하여 System.Web.ServiceAuthentication.dll이라는 파일로 위장한 ExchangeLeech 웹 셸이었습니다.

ExchangeLeech는 특히 기본 인증을 사용하여 손상된 Exchange 서버에 로그인하는 개인의 사용자 이름과 암호를 대상으로 민감한 정보를 적극적으로 수집하여 작동합니다. 이것은 일반 텍스트 HTTP 트래픽을 모니터링하고 웹 양식 데이터 또는 HTTP 헤더에서 자격 증명을 캡처하는 웹 셸의 기능을 통해 달성됩니다.

손상된 서버를 추가로 악용하기 위해 공격자는 쿠키 매개 변수를 통해 수집된 자격 증명 로그를 전송하도록 웹 셸에 지시할 수 있습니다. 이를 통해 의심을 불러일으키지 않고 캡처된 자격 증명을 은밀하게 유출할 수 있습니다.

PowerExchange 공격은 APT34 해커 그룹에 기인합니다.

PowerExchange 공격은 APT34 또는 Oilrig로 알려진 이란 정부가 후원하는 해킹 그룹에 기인합니다. 연구원들은 이전에 APT34가 쿠웨이트 정부 기관의 서버 내에 백도어를 구축하기 위해 사용한 적이 있는 TriFive 멀웨어와 PowerExchange 멀웨어 사이의 현저한 유사성을 식별함으로써 이러한 연관성을 확인했습니다.

PowerExchange와 TriFive는 눈에 띄게 유사합니다. 둘 다 PowerShell을 기반으로 하고 예약된 작업을 통해 활성화되며 EWS API를 C2 채널로 사용하여 조직의 Exchange 서버를 이용합니다. 이러한 백도어의 코드는 분명히 다르지만 연구원들은 PowerExchange가 TriFive 맬웨어의 진화되고 개선된 반복을 나타내는 것으로 추측합니다.

또한 APT34는 공격 작업의 초기 감염 벡터로 피싱 이메일을 지속적으로 사용한다는 점을 언급할 가치가 있습니다. APT34는 피해자가 안전하지 않은 콘텐츠와 상호 작용하도록 유도하거나 이러한 이메일에 포함된 손상된 링크를 클릭함으로써 표적 환경에 발판을 마련하여 위협적인 활동을 계속할 수 있도록 합니다. APT34가 이전에 아랍 에미레이트의 다른 기관에 침입한 적이 있다는 사실은 이들을 이러한 공격과 연결시키는 증거를 추가합니다.