PowerExchange ļaunprātīga programmatūra
Uzbrukuma operācijās ir parādījusies nesen identificēta ļaunprogrammatūra ar nosaukumu PowerExchange. Šīs jaunās aizmugures durvis izmanto PowerShell kā galveno skriptu valodu. Ļaunprātīga programmatūra tika izmantota, lai izveidotu aizmugures durvis lokālajos Microsoft Exchange serveros. Uzbrukuma incidenti, kas saistīti ar draudiem, varētu būt saistīti ar APT34 (Advanced Persistent Threat) Irānas valsts hakeriem.
Uzbrukuma vektors, ko izmantoja draudu dalībnieki, bija iefiltrēšanās mērķa pasta serverī, izmantojot pikšķerēšanas e-pastu. E-pasta ziņojumā bija saspiests arhīvs, kurā atradās apdraudēta izpildāmā programma. Kad tas tika izpildīts, PowerExchange tika izvietots, ļaujot hakeriem iegūt nesankcionētu piekļuvi un kontrolēt apdraudētos Microsoft Exchange serverus. Pēc tam apdraudējuma dalībnieki izmanto arī Web čaulu, kas izsekots kā ExchangeLeech un kas pirmo reizi tika atklāts 2020. gadā, ļaujot tiem izfiltrēt sensitīvus datus, galvenokārt koncentrējoties uz uzlauztajos Microsoft Exchange serveros glabāto lietotāju akreditācijas datu zādzību.
PowerExchange ļaunprogrammatūras izmantošana kopā ar ExchangeLeech Web apvalku parāda sarežģīto taktiku, ko APT34 izmanto savās draudošajās darbībās. PowerExchange aizmugures durvis atklāja pētnieku grupa par Apvienotajos Arābu Emirātos bāzētas valdības organizācijas apdraudētajām sistēmām.
Satura rādītājs
PowerExchange ļaunprogrammatūra izmanto upura Exchange serveri
PowerExchange ļaunprogrammatūra izveido saziņu ar uzbrukuma operācijas Command-and-Control (C2) serveri. Tas izmanto e-pasta ziņojumus, kas nosūtīti, izmantojot Exchange Web Services (EWS) API, izmantojot teksta pielikumus šajos e-pastos, lai nosūtītu savākto informāciju un saņemtu base64 kodētas komandas. Šajos e-pasta ziņojumos tiek mēģināts izvairīties no upura papildu pārbaudes, jo tiem ir tēmas rindiņa “Atjaunināt Microsoft Edge”.
Upura Exchange servera kā C2 kanāla izmantošana ir apdraudējuma dalībnieku apzināta stratēģija. Šī pieeja ļauj aizmugures durvīm saplūst ar likumīgu datplūsmu, padarot uz tīklu balstītiem noteikšanas un atlīdzināšanas mehānismiem ārkārtīgi sarežģītu apdraudējuma identificēšanu un mazināšanu. Maskējot savas darbības organizācijas infrastruktūrā, apdraudējuma dalībnieki var efektīvi izvairīties no atklāšanas un uzturēt slēptu klātbūtni.
PowerExchange aizmugures durvis nodrošina operatoriem plašu kontroli pār apdraudētajiem serveriem. Tas ļauj viņiem izpildīt dažādas komandas, tostarp piegādāt papildu apdraudošas kravas uz apdraudētajiem serveriem un izfiltrēt savāktos failus. Šī daudzpusība dod iespēju apdraudējuma dalībniekiem paplašināt savu sasniedzamību un veikt turpmākas kaitīgas darbības apdraudētajā vidē.
Papildu apdraudoši implanti tiek izvietoti kā daļa no PowerExchange aizmugures durvju uzbrukumiem
Ir noteikti arī papildu apdraudēti galapunkti, kas saturēja dažādus citus nedrošus implantus. Proti, viens no atklātajiem implantiem bija ExchangeLeech Web apvalks, kas bija slēpts kā fails ar nosaukumu System.Web.ServiceAuthentication.dll, izmantojot nosaukumu piešķiršanas konvencijas, kas parasti tiek saistītas ar likumīgiem IIS failiem.
ExchangeLeech darbojas, aktīvi apkopojot sensitīvu informāciju, īpaši mērķējot uz to personu lietotājvārdiem un parolēm, kuras piesakās apdraudētajos Exchange serveros, izmantojot pamata autentifikāciju. Tas tiek panākts, izmantojot tīmekļa čaulas spēju pārraudzīt skaidra teksta HTTP trafiku un iegūt akreditācijas datus no tīmekļa veidlapas datiem vai HTTP galvenēm.
Lai turpinātu izmantot apdraudētos serverus, uzbrucēji var dot Web čaulai norādījumus pārsūtīt savāktos akreditācijas datu žurnālus, izmantojot sīkfailu parametrus. Tas ļauj viņiem slēpti izfiltrēt notvertos akreditācijas datus, neradot aizdomas.
PowerExchange uzbrukumi tiek attiecināti uz APT34 hakeru grupu
PowerExchange uzbrukumi tiek attiecināti uz Irānas valsts sponsorētu hakeru grupu, kas pazīstama kā APT34 vai Oilrig. Pētnieki izveidoja šo savienojumu, identificējot pārsteidzošas līdzības starp PowerExchange ļaunprogrammatūru un TriFive ļaunprogrammatūru, ko iepriekš izmantoja APT34, lai izveidotu aizmugures durvis Kuveitas valdības organizāciju serveros.
Gan PowerExchange, gan TriFive ir ievērojamas līdzības. Tie abi ir balstīti uz PowerShell, tiek aktivizēti, veicot ieplānotos uzdevumus, un izmanto organizācijas Exchange serveri, izmantojot EWS API kā C2 kanālu. Lai gan šo aizmugures durvju kods ir acīmredzami atšķirīgs, pētnieki uzskata, ka PowerExchange ir attīstīta un uzlabota TriFive ļaunprātīgas programmatūras iterācija.
Turklāt ir vērts pieminēt, ka APT34 konsekventi izmanto pikšķerēšanas e-pastus kā savu uzbrukumu operāciju sākotnējo infekcijas vektoru. Mudinot upurus mijiedarboties ar nedrošu saturu vai noklikšķinot uz bojātām saitēm šajos e-pastos, APT34 iegūst stabilu vietu mērķa vidē, ļaujot viņiem turpināt savas draudošās darbības. Fakts, ka APT34 iepriekš ir pārkāpis citas organizācijas Apvienotajos Arābu Emirātos, papildina pierādījumus, kas tos saista ar šiem uzbrukumiem.
