„PowerExchange“ kenkėjiška programa
Atakos operacijose atsirado naujai identifikuota kenkėjiška programa, pavadinta PowerExchange. Šios naujos užpakalinės durys naudoja PowerShell kaip pagrindinę scenarijų kalbą. Kenkėjiška programinė įranga buvo naudojama norint sukurti užpakalines duris vietiniuose „Microsoft Exchange“ serveriuose. Atakos, susijusios su grėsme, gali būti susijusios su APT34 (Advanced Persistent Threat) Irano valstybės įsilaužėliais.
Atakos vektorius, kurį naudojo grėsmės veikėjai, buvo įsiskverbimas į tikslinį pašto serverį per sukčiavimo el. laišką. El. laiške buvo suspaustas archyvas, kuriame yra pažeista vykdomoji programa. Įvykdžius „PowerExchange“ buvo įdiegta, leidžianti įsilaužėliams gauti neteisėtą prieigą ir valdyti pažeistus „Microsoft Exchange“ serverius. Be to, grėsmės veikėjai taip pat naudoja žiniatinklio apvalkalą, pažymėtą kaip „ExchangeLeech“, kuris pirmą kartą buvo atskleistas 2020 m., leidžiantis jiems išfiltruoti neskelbtinus duomenis, daugiausia dėmesio skiriant vartotojo kredencialų, saugomų pažeistuose „Microsoft Exchange“ serveriuose, vagystei.
Kenkėjiškos „PowerExchange“ programos naudojimas kartu su „ExchangeLeech“ žiniatinklio apvalkalu parodo sudėtingą APT34 taktiką, kurią taiko grėsmingoje veikloje. „PowerExchange“ užpakalines duris atrado Jungtiniuose Arabų Emyratuose įsikūrusios vyriausybinės organizacijos pažeistų sistemų tyrimų grupė.
Turinys
Kenkėjiška „PowerExchange“ programa išnaudoja aukos „Exchange“ serverį
Kenkėjiška „PowerExchange“ programa užmezga ryšį su atakos operacijos komandų ir valdymo (C2) serveriu. Jis naudoja el. laiškus, siunčiamus per „Exchange Web Services“ (EWS) API, naudodamas šių el. laiškų tekstinius priedus, kad išsiųstų surinktą informaciją ir gautų „base64“ koduotas komandas. Šių el. laiškų temos eilutėje „Atnaujinti Microsoft Edge“ bandoma išvengti papildomos aukos dėmesio.
Aukos „Exchange“ serverio naudojimas kaip C2 kanalas yra apgalvota strategija, kurią taiko grėsmės veikėjai. Šis metodas leidžia užpakalinėms durims susilieti su teisėtu srautu, todėl tinkle pagrįstiems aptikimo ir ištaisymo mechanizmams labai sunku nustatyti ir sumažinti grėsmę. Užmaskuodami savo veiklą organizacijos infrastruktūroje, grėsmės veikėjai gali veiksmingai išvengti aptikimo ir išlaikyti paslėptą buvimą.
„PowerExchange“ užpakalinės durys suteikia operatoriams galimybę plačiai valdyti pažeistus serverius. Tai leidžia jiems vykdyti įvairias komandas, įskaitant papildomų grėsmingų krovinių pristatymą į pažeistus serverius ir surinktų failų išfiltravimą. Šis universalumas įgalina grėsmės veikėjus išplėsti savo pasiekiamumą ir vykdyti tolesnę žalingą veiklą pažeistoje aplinkoje.
Papildomi grėsmingi implantai naudojami kaip PowerExchange Backdoor atakų dalis
Taip pat buvo nustatyti papildomi pažeisti galutiniai taškai, kuriuose buvo įvairių kitų nesaugių implantų. Pažymėtina, kad vienas iš aptiktų implantų buvo „ExchangeLeech Web“ apvalkalas, kuris buvo užmaskuotas kaip failas pavadinimu System.Web.ServiceAuthentication.dll, pritaikant pavadinimų suteikimo taisykles, paprastai susijusias su teisėtais IIS failais.
„ExchangeLeech“ veikia aktyviai rinkdama slaptą informaciją, konkrečiai taikydama asmenų, kurie prisijungia prie pažeistų „Exchange“ serverių naudodami pagrindinį autentifikavimą, naudotojų vardus ir slaptažodžius. Tai pasiekiama naudojant žiniatinklio apvalkalo galimybę stebėti aiškaus teksto HTTP srautą ir užfiksuoti kredencialus iš žiniatinklio formos duomenų arba HTTP antraštių.
Norėdami toliau išnaudoti pažeistus serverius, užpuolikai gali nurodyti žiniatinklio apvalkalui perduoti surinktus kredencialų žurnalus naudodami slapukų parametrus. Tai leidžia jiems slapta išfiltruoti užfiksuotus įgaliojimus nesukeliant įtarimo.
PowerExchange atakos priskiriamos APT34 įsilaužėlių grupei
PowerExchange atakos buvo priskirtos Irano valstybės remiamai įsilaužėlių grupei, žinomai kaip APT34 arba Oilrig. Tyrėjai užmezgė šį ryšį nustatydami stulbinančius panašumus tarp PowerExchange kenkėjiškų programų ir TriFive kenkėjiškų programų, kurias anksčiau naudojo APT34, kad sukurtų užpakalines duris Kuveito vyriausybinių organizacijų serveriuose.
Tiek „PowerExchange“, tiek „TriFive“ turi didelių panašumų. Jie abu yra pagrįsti „PowerShell“, suaktyvinami atliekant suplanuotas užduotis ir išnaudoja organizacijos „Exchange“ serverį naudodami EWS API kaip C2 kanalą. Nors šių užpakalinių durų kodas aiškiai skiriasi, mokslininkai spėja, kad „PowerExchange“ yra išvystyta ir patobulinta „TriFive“ kenkėjiškos programos iteracija.
Be to, verta paminėti, kad APT34 nuosekliai naudoja sukčiavimo el. laiškus kaip pradinį savo atakų užkrėtimo vektorių. Viliodamas aukas bendrauti su nesaugiu turiniu arba spustelėdamas šiuose el. laiškuose esančias sugadintas nuorodas, APT34 įsitvirtina tikslinėje aplinkoje ir leidžia tęsti grėsmingą veiklą. Tai, kad APT34 anksčiau pažeidė kitus subjektus Jungtiniuose Arabų Emyratuose, papildo įrodymus, siejančius juos su šiomis atakomis.
