Złośliwe oprogramowanie PowerExchange
Podczas operacji ataku pojawiło się nowo zidentyfikowane złośliwe oprogramowanie o nazwie PowerExchange. Ten nowatorski backdoor wykorzystuje PowerShell jako podstawowy język skryptowy. Złośliwe oprogramowanie zostało wykorzystane do stworzenia backdoorów na lokalnych serwerach Microsoft Exchange. Incydenty ataku związane z zagrożeniem mogą być powiązane z irańskimi hakerami państwowymi APT34 (Advanced Persistent Threat).
Wektor ataku wykorzystany przez cyberprzestępców polegał na infiltracji docelowego serwera pocztowego za pośrednictwem wiadomości e-mail phishingowej. Wiadomość e-mail zawierała skompresowane archiwum zawierające skompromitowany plik wykonywalny. Po wykonaniu wdrożono PowerExchange, umożliwiając hakerom uzyskanie nieautoryzowanego dostępu i kontroli nad zaatakowanymi serwerami Microsoft Exchange. Następnie cyberprzestępcy wykorzystują również powłokę internetową śledzoną jako ExchangeLeech, która została po raz pierwszy wykryta w 2020 r., umożliwiając im eksfiltrację poufnych danych, koncentrując się przede wszystkim na kradzieży danych uwierzytelniających użytkowników przechowywanych na zaatakowanych serwerach Microsoft Exchange.
Wykorzystanie szkodliwego oprogramowania PowerExchange w połączeniu z powłoką ExchangeLeech Web demonstruje wyrafinowaną taktykę stosowaną przez APT34 w ich groźnych działaniach. Backdoor PowerExchange został odkryty przez zespół badawczy zajmujący się zainfekowanymi systemami organizacji rządowej z siedzibą w Zjednoczonych Emiratach Arabskich.
Spis treści
Złośliwe oprogramowanie PowerExchange wykorzystuje serwer Exchange ofiary
Złośliwe oprogramowanie PowerExchange nawiązuje komunikację z serwerem Command-and-Control (C2) operacji ataku. Wykorzystuje wiadomości e-mail wysyłane za pośrednictwem interfejsu API Exchange Web Services (EWS), wykorzystując załączniki tekstowe w tych wiadomościach e-mail do wysyłania zebranych informacji i otrzymywania poleceń zakodowanych w base64. Te e-maile mają na celu uniknięcie dodatkowej kontroli ze strony ofiary, ponieważ zawierają wiersz tematu „Aktualizuj Microsoft Edge”.
Wykorzystanie serwera Exchange ofiary jako kanału C2 jest celową strategią zastosowaną przez cyberprzestępców. Takie podejście pozwala backdoorowi wtopić się w legalny ruch sieciowy, co sprawia, że sieciowe mechanizmy wykrywania i naprawy są niezwykle trudne do zidentyfikowania i złagodzenia zagrożenia. Ukrywając swoje działania w infrastrukturze organizacji, cyberprzestępcy mogą skutecznie unikać wykrycia i utrzymywać potajemną obecność.
Backdoor PowerExchange zapewnia operatorom szeroką kontrolę nad zainfekowanymi serwerami. Umożliwia im wykonywanie różnych poleceń, w tym dostarczanie dodatkowych niebezpiecznych ładunków na zaatakowane serwery i eksfiltrację przechwyconych plików. Ta wszechstronność umożliwia cyberprzestępcom rozszerzenie zasięgu i prowadzenie dalszych szkodliwych działań w zaatakowanym środowisku.
Dodatkowe groźne implanty są wdrażane w ramach ataków typu backdoor PowerExchange
Zidentyfikowano również dodatkowe zagrożone punkty końcowe, które zawierały różne inne niebezpieczne implanty. Warto zauważyć, że jednym z wykrytych implantów była powłoka sieciowa ExchangeLeech, która była zamaskowana jako plik o nazwie System.Web.ServiceAuthentication.dll, przyjmujący konwencje nazewnictwa typowe dla legalnych plików IIS.
ExchangeLeech działa poprzez aktywne gromadzenie poufnych informacji, w szczególności ukierunkowanych na nazwy użytkowników i hasła osób, które logują się na zaatakowane serwery Exchange przy użyciu podstawowego uwierzytelniania. Osiąga się to dzięki zdolności powłoki sieci Web do monitorowania ruchu HTTP w postaci zwykłego tekstu i przechwytywania poświadczeń z danych formularzy sieci Web lub nagłówków HTTP.
Aby jeszcze bardziej wykorzystać zaatakowane serwery, osoby atakujące mogą nakazać powłoce internetowej przesyłanie zebranych dzienników poświadczeń za pomocą parametrów plików cookie. Pozwala im to na potajemną eksfiltrację przechwyconych danych uwierzytelniających bez wzbudzania podejrzeń.
Ataki PowerExchange są przypisywane grupie hakerów APT34
Ataki PowerExchange zostały przypisane sponsorowanej przez państwo irańskiej grupie hakerskiej znanej jako APT34 lub Oilrig. Badacze dokonali tego połączenia, identyfikując uderzające podobieństwa między złośliwym oprogramowaniem PowerExchange a złośliwym oprogramowaniem TriFive, które wcześniej było wykorzystywane przez APT34 do tworzenia backdoorów na serwerach organizacji rządowych w Kuwejcie.
Zarówno PowerExchange, jak i TriFive wykazują znaczące podobieństwa. Oba są oparte na PowerShell, aktywowane poprzez zaplanowane zadania i wykorzystują serwer Exchange organizacji przy użyciu EWS API jako kanału C2. Chociaż kod tych backdoorów jest wyraźnie inny, badacze spekulują, że PowerExchange stanowi rozwiniętą i ulepszoną iterację złośliwego oprogramowania TriFive.
Ponadto warto wspomnieć, że APT34 konsekwentnie wykorzystuje wiadomości phishingowe jako początkowy wektor infekcji w swoich operacjach ataków. Zachęcając ofiary do interakcji z niebezpieczną zawartością lub klikania uszkodzonych łączy w tych wiadomościach e-mail, APT34 zdobywa przyczółek w docelowym środowisku, umożliwiając im kontynuowanie groźnych działań. Fakt, że APT34 wcześniej włamał się do innych podmiotów w Zjednoczonych Emiratach Arabskich, stanowi kolejny dowód łączący je z tymi atakami.
