Perisian Hasad PowerExchange
Satu perisian hasad yang baru dikenal pasti bernama PowerExchange telah muncul dalam operasi serangan. Pintu belakang novel ini menggunakan PowerShell sebagai bahasa skrip utamanya. Malware telah digunakan untuk mewujudkan pintu belakang pada pelayan Microsoft Exchange di premis. Insiden serangan yang melibatkan ancaman itu boleh dikaitkan dengan penggodam APT34 (Advanced Persistent Threat) negara Iran.
Vektor serangan yang digunakan oleh pelaku ancaman melibatkan penyusupan pelayan mel yang disasarkan melalui e-mel pancingan data. E-mel itu mengandungi arkib termampat yang menempatkan boleh laku yang terjejas. Setelah dilaksanakan, PowerExchange telah digunakan, membolehkan penggodam memperoleh akses dan kawalan tanpa kebenaran ke atas pelayan Microsoft Exchange yang terjejas. Seterusnya, pelaku ancaman juga menggunakan cangkerang Web yang dijejaki sebagai ExchangeLeech, yang pertama kali ditemui pada 2020, membolehkan mereka mengeluarkan data sensitif, terutamanya memfokuskan pada pencurian bukti kelayakan pengguna yang disimpan dalam pelayan Microsoft Exchange yang terjejas.
Penggunaan perisian hasad PowerExchange, bersama-sama dengan shell Web ExchangeLeech, menunjukkan taktik canggih yang digunakan oleh APT34 dalam aktiviti mengancam mereka. Pintu belakang PowerExchange ditemui oleh pasukan penyelidik mengenai sistem yang terjejas oleh organisasi kerajaan yang berpangkalan di Emiriah Arab Bersatu.
Isi kandungan
Perisian Hasad PowerExchange Mengeksploitasi Pelayan Exchange Mangsa
Perisian hasad PowerExchange mewujudkan komunikasi dengan pelayan Command-and-Control (C2) bagi operasi serangan. Ia memanfaatkan e-mel yang dihantar melalui API Exchange Web Services (EWS), menggunakan lampiran teks dalam e-mel ini untuk menghantar maklumat yang dikumpul dan menerima arahan berkod base64. E-mel ini cuba mengelak daripada menarik perhatian tambahan oleh mangsa dengan membawa baris subjek 'Kemas kini Microsoft Edge.'
Penggunaan pelayan Exchange mangsa sebagai saluran C2 adalah strategi yang disengajakan oleh pelaku ancaman. Pendekatan ini membolehkan pintu belakang digabungkan dengan trafik yang sah, menjadikannya sangat sukar bagi mekanisme pengesanan dan pemulihan berasaskan rangkaian untuk mengenal pasti dan mengurangkan ancaman. Dengan menyamarkan aktivitinya dalam infrastruktur organisasi, pelaku ancaman boleh mengelak pengesanan dan mengekalkan kehadiran rahsia dengan berkesan.
Pintu belakang PowerExchange menyediakan pengendali kawalan yang meluas ke atas pelayan yang terjejas. Ia membolehkan mereka melaksanakan pelbagai arahan, termasuk penghantaran muatan mengancam tambahan ke pelayan yang terjejas dan penyingkiran fail yang dituai. Fleksibiliti ini memberi kuasa kepada pelaku ancaman untuk meluaskan jangkauan mereka dan menjalankan aktiviti berbahaya selanjutnya dalam persekitaran yang terjejas.
Implan Mengancam Tambahan Digunakan sebagai Sebahagian daripada Serangan Pintu Belakang PowerExchange
Titik akhir terjejas tambahan yang mengandungi pelbagai implan lain yang tidak selamat juga telah dikenal pasti. Terutama, salah satu implan yang ditemui ialah cangkerang ExchangeLeech Web, yang telah menyamar sebagai fail bernama System.Web.ServiceAuthentication.dll, menggunakan konvensyen penamaan yang biasanya dikaitkan dengan fail IIS yang sah.
ExchangeLeech beroperasi dengan mengumpul maklumat sensitif secara aktif, secara khusus menyasarkan nama pengguna dan kata laluan individu yang log masuk ke pelayan Exchange yang terjejas menggunakan pengesahan asas. Ini dicapai melalui keupayaan cangkerang Web untuk memantau trafik HTTP teks yang jelas dan menangkap bukti kelayakan daripada data borang Web atau pengepala HTTP.
Untuk mengeksploitasi lebih lanjut pelayan yang terjejas, penyerang boleh mengarahkan cangkerang Web untuk menghantar log kelayakan yang dikumpul melalui parameter kuki. Ini membolehkan mereka mengeluarkan secara rahsia bukti kelayakan yang ditangkap tanpa menimbulkan syak wasangka.
Serangan PowerExchange Dikaitkan dengan Kumpulan Penggodam APT34
Serangan PowerExchange telah dikaitkan dengan kumpulan penggodam tajaan negara Iran yang dikenali sebagai APT34 atau Oilrig. Para penyelidik membuat hubungan ini dengan mengenal pasti persamaan yang ketara antara perisian hasad PowerExchange dan perisian hasad TriFive yang sebelum ini digunakan oleh APT34 untuk mewujudkan pintu belakang dalam pelayan organisasi kerajaan Kuwait.
Kedua-dua PowerExchange dan TriFive mempamerkan persamaan yang ketara. Kedua-duanya adalah berdasarkan PowerShell, diaktifkan melalui tugas yang dijadualkan, dan mengeksploitasi pelayan Exchange organisasi menggunakan API EWS sebagai saluran C2. Walaupun kod pintu belakang ini jelas berbeza, para penyelidik membuat spekulasi bahawa PowerExchange mewakili lelaran perisian hasad TriFive yang berkembang dan dipertingkatkan.
Tambahan pula, perlu dinyatakan bahawa APT34 secara konsisten menggunakan e-mel pancingan data sebagai vektor jangkitan awal operasi serangan mereka. Dengan menarik mangsa untuk berinteraksi dengan kandungan yang tidak selamat atau mengklik pada pautan yang rosak dalam e-mel ini, APT34 mendapat tempat dalam persekitaran yang disasarkan, membolehkan mereka meneruskan aktiviti mengancam mereka. Fakta bahawa APT34 sebelum ini telah melanggar entiti lain di Emiriah Arab Bersatu menambah bukti yang mengaitkan mereka dengan serangan ini.
