PowerExchange ਮਾਲਵੇਅਰ

PowerExchange ਨਾਮ ਦਾ ਇੱਕ ਨਵਾਂ ਪਛਾਣਿਆ ਮਾਲਵੇਅਰ ਹਮਲਾ ਕਾਰਵਾਈਆਂ ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਹੈ। ਇਹ ਨਾਵਲ ਬੈਕਡੋਰ ਪਾਵਰਸ਼ੇਲ ਨੂੰ ਆਪਣੀ ਪ੍ਰਾਇਮਰੀ ਸਕ੍ਰਿਪਟਿੰਗ ਭਾਸ਼ਾ ਵਜੋਂ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ ਮਾਈਕਰੋਸਾਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ 'ਤੇ ਬੈਕਡੋਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ। ਧਮਕੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀਆਂ ਹਮਲੇ ਦੀਆਂ ਘਟਨਾਵਾਂ ਨੂੰ APT34 (ਐਡਵਾਂਸਡ ਪਰਸਿਸਟੈਂਟ ਥ੍ਰੇਟ) ਈਰਾਨੀ ਸਟੇਟ ਹੈਕਰਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾ ਸਕਦਾ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਹਮਲਾ ਵੈਕਟਰ ਇੱਕ ਫਿਸ਼ਿੰਗ ਈਮੇਲ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਮੇਲ ਸਰਵਰ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨਾ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ। ਈਮੇਲ ਵਿੱਚ ਇੱਕ ਸੰਕੁਚਿਤ ਪੁਰਾਲੇਖ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਹੈ। ਇੱਕ ਵਾਰ ਚਲਾਏ ਜਾਣ ਤੋਂ ਬਾਅਦ, PowerExchange ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸ ਨਾਲ ਹੈਕਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ Microsoft ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਅਤੇ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਇਆ ਗਿਆ ਸੀ। ਅੱਗੇ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਐਕਸਚੇਂਜ ਲੀਚ ਦੇ ਰੂਪ ਵਿੱਚ ਟਰੈਕ ਕੀਤੇ ਇੱਕ ਵੈਬ ਸ਼ੈੱਲ ਦੀ ਵਰਤੋਂ ਵੀ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ ਪਹਿਲੀ ਵਾਰ 2020 ਵਿੱਚ ਸਾਹਮਣੇ ਆਇਆ ਸੀ, ਉਹਨਾਂ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ ਦੇ ਅੰਦਰ ਸਟੋਰ ਕੀਤੇ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ 'ਤੇ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।

PowerExchange ਮਾਲਵੇਅਰ ਦੀ ਵਰਤੋਂ, ਐਕਸਚੇਂਜ ਲੀਚ ਵੈੱਬ ਸ਼ੈੱਲ ਦੇ ਨਾਲ, APT34 ਦੁਆਰਾ ਉਹਨਾਂ ਦੀਆਂ ਧਮਕੀਆਂ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਗਈਆਂ ਵਧੀਆ ਰਣਨੀਤੀਆਂ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੀ ਹੈ। ਪਾਵਰਐਕਸਚੇਂਜ ਬੈਕਡੋਰ ਦੀ ਖੋਜ ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ ਵਿੱਚ ਸਥਿਤ ਇੱਕ ਸਰਕਾਰੀ ਸੰਸਥਾ ਦੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਇੱਕ ਖੋਜ ਟੀਮ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਸੀ।

PowerExchange ਮਾਲਵੇਅਰ ਪੀੜਤ ਦੇ ਐਕਸਚੇਂਜ ਸਰਵਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

PowerExchange ਮਾਲਵੇਅਰ ਹਮਲੇ ਦੀ ਕਾਰਵਾਈ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਐਕਸਚੇਂਜ ਵੈੱਬ ਸਰਵਿਸਿਜ਼ (EWS) API ਦੁਆਰਾ ਭੇਜੀਆਂ ਗਈਆਂ ਈਮੇਲਾਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ, ਇਹਨਾਂ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਟੈਕਸਟ ਅਟੈਚਮੈਂਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਕੱਤਰ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਭੇਜਣ ਅਤੇ ਬੇਸ64-ਏਨਕੋਡਡ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਈਮੇਲ ਵਿਸ਼ਾ ਲਾਈਨ 'ਅੱਪਡੇਟ ਮਾਈਕਰੋਸਾਫਟ ਐਜ' ਲੈ ਕੇ ਪੀੜਤ ਦੁਆਰਾ ਵਾਧੂ ਜਾਂਚ ਨੂੰ ਆਕਰਸ਼ਿਤ ਕਰਨ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ।

C2 ਚੈਨਲ ਵਜੋਂ ਪੀੜਤ ਦੇ ਐਕਸਚੇਂਜ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਲਾਕਾਰਾਂ ਦੁਆਰਾ ਇੱਕ ਜਾਣਬੁੱਝ ਕੇ ਕੀਤੀ ਗਈ ਰਣਨੀਤੀ ਹੈ। ਇਹ ਪਹੁੰਚ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਨੂੰ ਜਾਇਜ਼ ਟ੍ਰੈਫਿਕ ਨਾਲ ਮਿਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਨੈੱਟਵਰਕ-ਅਧਾਰਿਤ ਖੋਜ ਅਤੇ ਉਪਚਾਰ ਵਿਧੀਆਂ ਲਈ ਖਤਰੇ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਇਸ ਨੂੰ ਘਟਾਉਣਾ ਬਹੁਤ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ। ਸੰਗਠਨ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਅੰਦਰ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਛੁਪਾਉਣ ਦੁਆਰਾ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਖੋਜ ਤੋਂ ਬਚ ਸਕਦੇ ਹਨ ਅਤੇ ਇੱਕ ਗੁਪਤ ਮੌਜੂਦਗੀ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖ ਸਕਦੇ ਹਨ।

ਪਾਵਰਐਕਸਚੇਂਜ ਬੈਕਡੋਰ ਆਪਰੇਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ 'ਤੇ ਵਿਆਪਕ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਵੱਖ-ਵੱਖ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ 'ਤੇ ਅਤਿਰਿਕਤ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡਾਂ ਦੀ ਸਪੁਰਦਗੀ ਅਤੇ ਕਟਾਈ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣਾ ਸ਼ਾਮਲ ਹੈ। ਇਹ ਬਹੁਪੱਖੀਤਾ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਆਪਣੀ ਪਹੁੰਚ ਵਧਾਉਣ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਵਾਤਾਵਰਣ ਦੇ ਅੰਦਰ ਹੋਰ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣ ਲਈ ਸ਼ਕਤੀ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।

ਪਾਵਰਐਕਸਚੇਂਜ ਬੈਕਡੋਰ ਅਟੈਕ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਅਤਿਰਿਕਤ ਧਮਕੀ ਭਰੇ ਇਮਪਲਾਂਟ ਤਾਇਨਾਤ ਕੀਤੇ ਗਏ ਹਨ

ਵਾਧੂ ਸਮਝੌਤਾ ਕੀਤੇ ਅੰਤਮ ਬਿੰਦੂਆਂ ਦੀ ਵੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਕਈ ਹੋਰ ਅਸੁਰੱਖਿਅਤ ਇਮਪਲਾਂਟ ਸ਼ਾਮਲ ਸਨ। ਖਾਸ ਤੌਰ 'ਤੇ, ਖੋਜੇ ਗਏ ਇਮਪਲਾਂਟ ਵਿੱਚੋਂ ਇੱਕ ਐਕਸਚੇਂਜਲੀਚ ਵੈੱਬ ਸ਼ੈੱਲ ਸੀ, ਜਿਸ ਨੂੰ System.Web.ServiceAuthentication.dll ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਰੱਖਿਆ ਗਿਆ ਸੀ, ਖਾਸ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ IIS ਫਾਈਲਾਂ ਨਾਲ ਸੰਬੰਧਿਤ ਨਾਮਕਰਨ ਪਰੰਪਰਾਵਾਂ ਨੂੰ ਅਪਣਾਉਂਦੇ ਹੋਏ।

ਐਕਸਚੇਂਜ ਲੀਚ ਸਰਗਰਮੀ ਨਾਲ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਕੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਖਾਸ ਤੌਰ 'ਤੇ ਉਹਨਾਂ ਵਿਅਕਤੀਆਂ ਦੇ ਉਪਭੋਗਤਾ ਨਾਮ ਅਤੇ ਪਾਸਵਰਡਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਜੋ ਬੁਨਿਆਦੀ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਮਝੌਤਾ ਕੀਤੇ ਐਕਸਚੇਂਜ ਸਰਵਰਾਂ ਵਿੱਚ ਲੌਗਇਨ ਕਰਦੇ ਹਨ। ਇਹ ਵੈੱਬ ਸ਼ੈੱਲ ਦੀ ਸਪਸ਼ਟ ਟੈਕਸਟ HTTP ਟ੍ਰੈਫਿਕ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਅਤੇ ਵੈਬ ਫਾਰਮ ਡੇਟਾ ਜਾਂ HTTP ਸਿਰਲੇਖਾਂ ਤੋਂ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਦੀ ਯੋਗਤਾ ਦੁਆਰਾ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਦਾ ਹੋਰ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ, ਹਮਲਾਵਰ ਵੈੱਬ ਸ਼ੈੱਲ ਨੂੰ ਕੂਕੀ ਪੈਰਾਮੀਟਰਾਂ ਰਾਹੀਂ ਇਕੱਤਰ ਕੀਤੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲ ਲੌਗਸ ਨੂੰ ਪ੍ਰਸਾਰਿਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਦੇ ਸਕਦੇ ਹਨ। ਇਹ ਉਹਨਾਂ ਨੂੰ ਸ਼ੱਕ ਪੈਦਾ ਕੀਤੇ ਬਿਨਾਂ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਕੈਪਚਰ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।

PowerExchange ਹਮਲੇ APT34 ਹੈਕਰ ਸਮੂਹ ਨੂੰ ਦਿੱਤੇ ਜਾਂਦੇ ਹਨ

PowerExchange ਹਮਲਿਆਂ ਦਾ ਕਾਰਨ ਈਰਾਨੀ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਹੈਕਿੰਗ ਸਮੂਹ ਨੂੰ ਦਿੱਤਾ ਗਿਆ ਹੈ ਜਿਸਨੂੰ APT34 ਜਾਂ Oilrig ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਵਰਐਕਸਚੇਂਜ ਮਾਲਵੇਅਰ ਅਤੇ ਕੁਵੈਤੀ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਦੇ ਸਰਵਰਾਂ ਦੇ ਅੰਦਰ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਸਥਾਪਤ ਕਰਨ ਲਈ ਪਹਿਲਾਂ APT34 ਦੁਆਰਾ ਵਰਤੇ ਗਏ TriFive ਮਾਲਵੇਅਰ ਦੇ ਵਿਚਕਾਰ ਸ਼ਾਨਦਾਰ ਸਮਾਨਤਾਵਾਂ ਦੀ ਪਛਾਣ ਕਰਕੇ ਇਹ ਸਬੰਧ ਬਣਾਇਆ ਹੈ।

ਪਾਵਰਐਕਸਚੇਂਜ ਅਤੇ ਟ੍ਰਾਈਫਾਈਵ ਦੋਵੇਂ ਮਹੱਤਵਪੂਰਨ ਸਮਾਨਤਾਵਾਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੇ ਹਨ। ਇਹ ਦੋਵੇਂ PowerShell 'ਤੇ ਅਧਾਰਤ ਹਨ, ਅਨੁਸੂਚਿਤ ਕਾਰਜਾਂ ਰਾਹੀਂ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦੇ ਹਨ, ਅਤੇ C2 ਚੈਨਲ ਵਜੋਂ EWS API ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸੰਗਠਨ ਦੇ ਐਕਸਚੇਂਜ ਸਰਵਰ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ। ਹਾਲਾਂਕਿ ਇਹਨਾਂ ਬੈਕਡੋਰਸ ਦਾ ਕੋਡ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਵੱਖਰਾ ਹੈ, ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਅੰਦਾਜ਼ਾ ਹੈ ਕਿ ਪਾਵਰਐਕਸਚੇਂਜ ਟ੍ਰਾਈਫਾਈਵ ਮਾਲਵੇਅਰ ਦੀ ਇੱਕ ਵਿਕਸਤ ਅਤੇ ਸੁਧਾਰੀ ਦੁਹਰਾਅ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਵਰਣਨ ਯੋਗ ਹੈ ਕਿ APT34 ਲਗਾਤਾਰ ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਹਮਲੇ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਕਰਮਣ ਵੈਕਟਰ ਵਜੋਂ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਅਸੁਰੱਖਿਅਤ ਸਮੱਗਰੀ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਜਾਂ ਇਹਨਾਂ ਈਮੇਲਾਂ ਦੇ ਅੰਦਰ ਖਰਾਬ ਲਿੰਕਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਕੇ, APT34 ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਗਏ ਵਾਤਾਵਰਣ ਵਿੱਚ ਪੈਰ ਪਕੜ ਲੈਂਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਧਮਕੀਆਂ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ। ਇਹ ਤੱਥ ਕਿ APT34 ਨੇ ਪਹਿਲਾਂ ਸੰਯੁਕਤ ਅਰਬ ਅਮੀਰਾਤ ਵਿੱਚ ਹੋਰ ਸੰਸਥਾਵਾਂ ਦੀ ਉਲੰਘਣਾ ਕੀਤੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਇਹਨਾਂ ਹਮਲਿਆਂ ਨਾਲ ਜੋੜਨ ਵਾਲੇ ਸਬੂਤਾਂ ਨੂੰ ਜੋੜਦਾ ਹੈ।