PowerExchange मालवेयर
PowerExchange नामको नयाँ पहिचान गरिएको मालवेयर आक्रमण सञ्चालनहरूमा देखा परेको छ। यो उपन्यास ब्याकडोरले PowerShell लाई यसको प्राथमिक स्क्रिप्टिङ भाषाको रूपमा प्रयोग गर्दछ। मालवेयरलाई माइक्रोसफ्ट एक्सचेन्ज सर्भरहरूमा ब्याकडोरहरू स्थापना गर्न प्रयोग गरिएको थियो। धम्की समावेश गर्ने आक्रमणका घटनाहरू APT34 (Advanced Persistent Threat) इरानी राज्य ह्याकरहरूसँग जोडिएको हुन सक्छ।
फिसिङ इमेल मार्फत लक्षित मेल सर्भरमा घुसपैठ गर्ने धम्की दिने व्यक्तिहरूद्वारा नियोजित आक्रमण भेक्टर। इमेलमा एउटा कम्प्रेस गरिएको अभिलेख राखिएको थियो जसमा सम्झौता कार्यान्वयन योग्य थियो। एक पटक कार्यान्वयन गरेपछि, ह्याकरहरूलाई सम्झौता गरिएको Microsoft Exchange सर्भरहरूमा अनधिकृत पहुँच र नियन्त्रण प्राप्त गर्न सक्षम पार्दै, PowerExchange तैनात गरिएको थियो। अर्को, खतरा अभिनेताहरूले एक्सचेन्जलीचको रूपमा ट्र्याक गरिएको वेब शेल पनि प्रयोग गर्छन्, जुन २०२० मा पहिलो पटक पत्ता लगाइएको थियो, उनीहरूलाई संवेदनशील डाटा बाहिर निकाल्न सक्षम पार्दै, मुख्य रूपमा सम्झौता गरिएको माइक्रोसफ्ट एक्सचेन्ज सर्भरहरूमा भण्डार गरिएको प्रयोगकर्ता प्रमाणहरूको चोरीमा ध्यान केन्द्रित गर्दै।
PowerExchange मालवेयरको प्रयोग, ExchangeLeech वेब शेलको संयोजनमा, APT34 द्वारा तिनीहरूको धम्कीपूर्ण गतिविधिहरूमा नियोजित परिष्कृत रणनीतिहरू प्रदर्शन गर्दछ। PowerExchange ब्याकडोर संयुक्त अरब इमिरेट्समा आधारित सरकारी संगठनको सम्झौता प्रणालीहरूमा अनुसन्धान टोलीले पत्ता लगाएको थियो।
सामग्रीको तालिका
PowerExchange मालवेयरले पीडितको एक्सचेन्ज सर्भरको शोषण गर्दछ
PowerExchange मालवेयरले आक्रमण सञ्चालनको आदेश-र-नियन्त्रण (C2) सर्भरसँग सञ्चार स्थापना गर्दछ। यसले एक्सचेन्ज वेब सेवाहरू (EWS) API मार्फत पठाइएका इमेलहरूको लाभ उठाउँछ, सङ्कलन गरिएको जानकारी पठाउन र base64-इन्कोड गरिएका आदेशहरू प्राप्त गर्न यी इमेलहरू भित्रको पाठ संलग्नकहरू प्रयोग गरी। यी इमेलहरूले 'माईक्रोसफ्ट एज अपडेट गर्नुहोस्' विषयवस्तु बोकेर पीडितले थप छानबिनलाई आकर्षित गर्नबाट जोगिन प्रयास गर्छन्।
पीडितको एक्सचेन्ज सर्भरलाई C2 च्यानलको रूपमा प्रयोग गर्नु धम्की दिने व्यक्तिहरूद्वारा प्रयोग गरिएको जानाजानी रणनीति हो। यो दृष्टिकोणले ब्याकडोरलाई वैध ट्राफिकसँग मिलाउन अनुमति दिन्छ, यसले नेटवर्क-आधारित पत्ता लगाउने र उपचार संयन्त्रहरूलाई खतरा पहिचान गर्न र कम गर्न अत्यन्तै गाह्रो बनाउँछ। संगठनको पूर्वाधार भित्र यसको गतिविधिहरू छद्म गरेर, खतरा अभिनेताहरूले प्रभावकारी रूपमा पत्ता लगाउनबाट बच्न र गोप्य उपस्थिति कायम राख्न सक्छन्।
PowerExchange ब्याकडोरले अपरेटरहरूलाई सम्झौता गरिएका सर्भरहरूमा व्यापक नियन्त्रण प्रदान गर्दछ। यसले तिनीहरूलाई विभिन्न आदेशहरू कार्यान्वयन गर्न सक्षम बनाउँछ, जसमा सम्झौता गरिएका सर्भरहरूमा थप धम्कीपूर्ण पेलोडहरू पठाउने र फसल गरिएका फाइलहरूको निष्कासनलगायत। यो बहुमुखी प्रतिभाले खतरा अभिनेताहरूलाई आफ्नो पहुँच विस्तार गर्न र सम्झौता गरिएको वातावरण भित्र थप हानिकारक गतिविधिहरू सञ्चालन गर्न सशक्त बनाउँछ।
पावरएक्सचेन्ज ब्याकडोर अट्याकको भागको रूपमा थप खतरा प्रत्यारोपणहरू प्रयोग गरिन्छ।
अन्य अन्य असुरक्षित प्रत्यारोपणहरू समावेश गर्ने थप सम्झौता गरिएको अन्त बिन्दुहरू पनि पहिचान गरिएको छ। उल्लेखनीय रूपमा, पत्ता लगाइएका प्रत्यारोपणहरू मध्ये एउटा ExchangeLeech वेब शेल थियो, जसलाई System.Web.ServiceAuthentication.dll नामक फाइलको रूपमा भेषमा राखिएको थियो, सामान्यतया वैध IIS फाइलहरूसँग सम्बन्धित नामकरण प्रबन्धहरू अपनाउने।
ExchangeLeech ले सक्रिय रूपमा संवेदनशील जानकारी सङ्कलन गरेर सञ्चालन गर्दछ, विशेष गरी आधारभूत प्रमाणीकरण प्रयोग गरेर सम्झौता भएको एक्सचेन्ज सर्भरहरूमा लग इन गर्ने व्यक्तिहरूको प्रयोगकर्तानाम र पासवर्डहरूलाई लक्षित गरेर। यो वेब शेलको स्पष्ट पाठ HTTP ट्राफिक निगरानी गर्न र वेब फारम डाटा वा HTTP हेडरहरूबाट प्रमाणहरू क्याप्चर गर्ने क्षमता मार्फत प्राप्त हुन्छ।
सम्झौता गरिएका सर्भरहरूको थप शोषण गर्न, आक्रमणकारीहरूले वेब शेललाई कुकी प्यारामिटरहरू मार्फत सङ्कलन गरिएका प्रमाणहरू पठाउन निर्देशन दिन सक्छन्। यसले तिनीहरूलाई शङ्का उत्पन्न नगरी गुप्त रूपमा कब्जा गरिएका प्रमाणहरू बाहिर निकाल्न अनुमति दिन्छ।
PowerExchange आक्रमणहरू APT34 ह्याकर समूहलाई श्रेय दिइन्छ
PowerExchange आक्रमणहरू APT34 वा Oilrig भनेर चिनिने इरानी राज्य-प्रायोजित ह्याकिङ समूहलाई श्रेय दिइएको छ। अन्वेषकहरूले PowerExchange मालवेयर र APT34 द्वारा कुवेती सरकारी संस्थाहरूको सर्भरहरू भित्र ब्याकडोरहरू स्थापना गर्न पहिले प्रयोग गरेको TriFive मालवेयर बीचको उल्लेखनीय समानताहरू पहिचान गरेर यो जडान बनाएका थिए।
दुबै PowerExchange र TriFive ले उल्लेखनीय समानताहरू प्रदर्शन गर्दछ। तिनीहरू दुबै PowerShell मा आधारित छन्, निर्धारित कार्यहरू मार्फत सक्रिय हुन्छन्, र C2 च्यानलको रूपमा EWS API प्रयोग गरेर संगठनको एक्सचेन्ज सर्भरको शोषण गर्दछ। यद्यपि यी ब्याकडोरहरूको कोड स्पष्ट रूपमा फरक छ, अनुसन्धानकर्ताहरूले अनुमान गर्छन् कि PowerExchange TriFive मालवेयरको विकसित र सुधारिएको पुनरावृत्ति प्रतिनिधित्व गर्दछ।
यसबाहेक, यो उल्लेखनीय छ कि APT34 ले लगातार फिसिङ इमेलहरूलाई तिनीहरूको आक्रमण सञ्चालनको प्रारम्भिक संक्रमण भेक्टरको रूपमा प्रयोग गर्दछ। पीडितहरूलाई असुरक्षित सामग्रीसँग अन्तर्क्रिया गर्न वा यी इमेलहरू भित्र भ्रष्ट लिङ्कहरूमा क्लिक गरेर, APT34 ले लक्षित वातावरणमा एक खुट्टा पाउँछ, उनीहरूलाई उनीहरूको धम्कीपूर्ण गतिविधिहरूमा अगाडि बढ्न सक्षम बनाउँछ। APT34 ले पहिले संयुक्त अरब इमिरेट्समा अन्य संस्थाहरूलाई उल्लङ्घन गरेको तथ्यले उनीहरूलाई यी आक्रमणहरूसँग जोड्ने प्रमाणहरू थप्छ।
