PowerExchange Malware

Um malware recém-identificado, chamado PowerExchange, surgiu em operações de ataque. Este novo backdoor emprega o PowerShell como sua principal linguagem de script. O malware foi utilizado para estabelecer backdoors no local nos servidores Microsoft Exchange. Os incidentes de ataque envolvendo a ameaça podem estar ligados aos hackers do estado iraniano APT34 (Ameaça Persistente Avançada).

O vetor de ataque empregado pelos agentes de ameaças envolvia a infiltração no servidor de e-mail de destino por meio de um e-mail de phishing. O e-mail continha um arquivo compactado contendo um executável comprometido. Uma vez executado, o PowerExchange foi implantado, permitindo que os hackers obtivessem acesso não autorizado e controle sobre os servidores comprometidos do Microsoft Exchange. Em seguida, os agentes de ameaças também utilizam um shell da Web rastreado como ExchangeLeech, que foi descoberto pela primeira vez em 2020, permitindo que eles exfiltrem dados confidenciais, concentrando-se principalmente no roubo de credenciais de usuário armazenadas nos servidores comprometidos do Microsoft Exchange.

O uso do malware PowerExchange, em conjunto com o shell da Web ExchangeLeech, demonstra as táticas sofisticadas empregadas pelo APT34 em suas atividades ameaçadoras. O backdoor do PowerExchange foi descoberto por uma equipe de pesquisa nos sistemas comprometidos de uma organização governamental com sede nos Emirados Árabes Unidos.

O PowerExchange Malwre Explora o Exchange Server da Vítima

O malware do PowerExchange estabelece comunicação com o servidor Command-and-Control (C2) da operação de ataque. Ele aproveita os e-mails enviados por meio da API Exchange Web Services (EWS), utilizando anexos de texto nesses e-mails para enviar informações coletadas e receber comandos codificados em base64. Esses e-mails tentam evitar atrair atenção adicional por parte da vítima, carregando a linha de assunto 'Atualizar o Microsoft Edge'.

A utilização do servidor Exchange da vítima como canal C2 é uma estratégia deliberada empregada pelos agentes da ameaça. Essa abordagem permite que o backdoor se misture com o tráfego legítimo, tornando extremamente difícil para os mecanismos de detecção e remediação baseados em rede identificar e mitigar a ameaça. Ao camuflar suas atividades dentro da infraestrutura da organização, os agentes de ameaças podem efetivamente evitar a detecção e manter uma presença encoberta.

O backdoor do PowerExchange oferece aos operadores controle extensivo sobre os servidores comprometidos. Ele permite que eles executem vários comandos, incluindo a entrega de cargas ameaçadoras adicionais nos servidores comprometidos e a exfiltração de arquivos coletados. Essa versatilidade permite que os agentes de ameaças ampliem seu alcance e realizem outras atividades prejudiciais no ambiente comprometido.

Ameaças Adicionais são Implantadas como Parte dos Ataques de Backdoor do PowerExchange

Endpoints comprometidos adicionais que continham vários outros implantes inseguros também foram identificados. Notavelmente, um dos implantes descobertos foi o shell da Web ExchangeLeech, que foi disfarçado como um arquivo chamado System.Web.ServiceAuthentication.dll, adotando as convenções de nomenclatura normalmente associadas a arquivos legítimos do IIS.

O ExchangeLeech opera reunindo ativamente informações confidenciais, visando especificamente os nomes de usuário e senhas de indivíduos que fazem login nos servidores Exchange comprometidos usando autenticação básica. Isso é obtido por meio da capacidade do shell da Web de monitorar o tráfego HTTP de texto não criptografado e capturar credenciais de dados de formulários da Web ou cabeçalhos HTTP.

Para explorar ainda mais os servidores comprometidos, os invasores podem instruir o shell da Web a transmitir os logs de credenciais coletados por meio de parâmetros de cookies. Isso permite que eles exfiltrem secretamente as credenciais capturadas sem levantar suspeitas.

Os Ataques do PowerExchange são Atribuídos ao Grupo de Hackers APT34

Os ataques do PowerExchange foram atribuídos ao grupo de hackers patrocinado pelo estado iraniano conhecido como APT34 ou Oilrig. Os pesquisadores fizeram essa conexão identificando semelhanças impressionantes entre o malware PowerExchange e o malware TriFive anteriormente utilizado pelo APT34 para estabelecer backdoors nos servidores de organizações governamentais do Kuwait.

Tanto o PowerExchange quanto o TriFive exibem semelhanças notáveis. Ambos são baseados no PowerShell, ativados por meio de tarefas agendadas e exploram o servidor Exchange da organização usando a API EWS como o canal C2. Embora o código desses backdoors seja claramente diferente, os pesquisadores especulam que o PowerExchange representa uma iteração evoluída e aprimorada do malware TriFive.

Além disso, vale a pena mencionar que o APT34 emprega consistentemente e-mails de phishing como um vetor de infecção inicial de suas operações de ataque. Ao incitar as vítimas a interagir com conteúdo inseguro ou clicar em links corrompidos nesses e-mails, o APT34 ganha uma posição no ambiente de destino, permitindo que prossigam com suas atividades ameaçadoras. O fato de o APT34 ter violado anteriormente outras entidades nos Emirados Árabes Unidos aumenta as evidências que os ligam a esses ataques.