PowerExchange-malware
Een nieuw geïdentificeerde malware genaamd PowerExchange is opgedoken tijdens aanvalsoperaties. Deze nieuwe backdoor gebruikt PowerShell als primaire scripttaal. De malware werd gebruikt om achterdeurtjes te maken op de lokale Microsoft Exchange-servers. De aanvalsincidenten waarbij de dreiging betrokken was, zouden in verband kunnen worden gebracht met de APT34 (Advanced Persistent Threat) Iraanse staatshackers.
De aanvalsvector die door de bedreigingsactoren werd gebruikt, was het infiltreren van de gerichte mailserver via een phishing-e-mail. De e-mail bevatte een gecomprimeerd archief met daarin een gecompromitteerd uitvoerbaar bestand. Eenmaal uitgevoerd, werd PowerExchange ingezet, waardoor de hackers ongeoorloofde toegang en controle konden krijgen over de gecompromitteerde Microsoft Exchange-servers. Vervolgens gebruiken de bedreigingsactoren ook een webshell die wordt gevolgd als ExchangeLeech, die voor het eerst werd ontdekt in 2020, waardoor ze gevoelige gegevens kunnen exfiltreren, waarbij ze zich voornamelijk richten op de diefstal van gebruikersreferenties die zijn opgeslagen op de gecompromitteerde Microsoft Exchange-servers.
Het gebruik van PowerExchange-malware, in combinatie met de ExchangeLeech Web-shell, demonstreert de geavanceerde tactieken die door APT34 worden gebruikt bij hun bedreigende activiteiten. De PowerExchange-achterdeur werd ontdekt door een onderzoeksteam op de gecompromitteerde systemen van een overheidsorganisatie in de Verenigde Arabische Emiraten.
Inhoudsopgave
De PowerExchange-malware maakt misbruik van de Exchange-server van het slachtoffer
De PowerExchange-malware brengt communicatie tot stand met de Command-and-Control (C2)-server van de aanvalsoperatie. Het maakt gebruik van e-mails die worden verzonden via de Exchange Web Services (EWS) API, waarbij tekstbijlagen in deze e-mails worden gebruikt om verzamelde informatie te verzenden en base64-gecodeerde opdrachten te ontvangen. Deze e-mails proberen extra aandacht van het slachtoffer te voorkomen door de onderwerpregel 'Update Microsoft Edge' te bevatten.
Het gebruik van de Exchange-server van het slachtoffer als het C2-kanaal is een bewuste strategie die door de bedreigingsactoren wordt gebruikt. Door deze aanpak kan de achterdeur opgaan in legitiem verkeer, waardoor het buitengewoon moeilijk wordt voor netwerkgebaseerde detectie- en herstelmechanismen om de dreiging te identificeren en te beperken. Door zijn activiteiten binnen de infrastructuur van de organisatie te camoufleren, kunnen de bedreigingsactoren effectief detectie voorkomen en een geheime aanwezigheid behouden.
De PowerExchange-achterdeur biedt de operators uitgebreide controle over de gecompromitteerde servers. Het stelt hen in staat om verschillende opdrachten uit te voeren, waaronder het leveren van extra bedreigende payloads aan de gecompromitteerde servers en het exfiltreren van geoogste bestanden. Deze veelzijdigheid stelt de bedreigingsactoren in staat om hun bereik uit te breiden en verdere schadelijke activiteiten uit te voeren binnen de gecompromitteerde omgeving.
Extra bedreigende implantaten worden ingezet als onderdeel van de PowerExchange-achterdeuraanvallen
Er zijn ook aanvullende gecompromitteerde eindpunten geïdentificeerd die verschillende andere onveilige implantaten bevatten. Een van de ontdekte implantaten was met name de ExchangeLeech Web-shell, die was vermomd als een bestand met de naam System.Web.ServiceAuthentication.dll, waarbij de naamgevingsconventies werden overgenomen die doorgaans worden geassocieerd met legitieme IIS-bestanden.
ExchangeLeech werkt door actief gevoelige informatie te verzamelen, met name gericht op de gebruikersnamen en wachtwoorden van personen die inloggen op de gecompromitteerde Exchange-servers met behulp van basisauthenticatie. Dit wordt bereikt door de mogelijkheid van de webshell om HTTP-verkeer in duidelijke tekst te controleren en inloggegevens van webformuliergegevens of HTTP-headers vast te leggen.
Om de gecompromitteerde servers verder te exploiteren, kunnen de aanvallers de webshell instrueren om de verzamelde referentielogboeken via cookieparameters te verzenden. Hierdoor kunnen ze de buitgemaakte inloggegevens heimelijk exfiltreren zonder argwaan te wekken.
De PowerExchange-aanvallen worden toegeschreven aan de APT34 Hacker Group
De PowerExchange-aanvallen zijn toegeschreven aan de door de Iraanse staat gesponsorde hackgroep die bekend staat als APT34 of Oilrig. De onderzoekers legden dit verband door opvallende overeenkomsten te identificeren tussen de PowerExchange-malware en de TriFive-malware die eerder door APT34 werd gebruikt om backdoors te creëren binnen de servers van Koeweitse overheidsorganisaties.
Zowel PowerExchange als TriFive vertonen opmerkelijke overeenkomsten. Ze zijn beide gebaseerd op PowerShell, worden geactiveerd via geplande taken en exploiteren de Exchange-server van de organisatie met behulp van de EWS API als het C2-kanaal. Hoewel de code van deze backdoors duidelijk anders is, speculeren de onderzoekers dat PowerExchange een geëvolueerde en verbeterde iteratie van de TriFive-malware vertegenwoordigt.
Verder is het vermeldenswaard dat APT34 consequent phishing-e-mails gebruikt als een eerste infectievector van hun aanvalsoperaties. Door slachtoffers te verleiden tot interactie met onveilige inhoud of door op corrupte links in deze e-mails te klikken, krijgt APT34 voet aan de grond in de beoogde omgeving, waardoor ze hun bedreigende activiteiten kunnen voortzetten. Het feit dat APT34 eerder andere entiteiten in de Verenigde Arabische Emiraten heeft geschonden, draagt bij aan het bewijs dat hen in verband brengt met deze aanvallen.
