PowerExchange Malware
Un malware nou identificat, numit PowerExchange, a apărut în cadrul operațiunilor de atac. Acest nou backdoor folosește PowerShell ca limbaj de scripting principal. Malware-ul a fost utilizat pentru a stabili uși din spate pe serverele Microsoft Exchange. Incidentele de atac care implică amenințarea ar putea fi legate de hackerii statului iranian APT34 (Amenințare persistentă avansată).
Vectorul de atac folosit de actorii amenințărilor a implicat infiltrarea în serverul de e-mail vizat printr-un e-mail de phishing. E-mailul conținea o arhivă comprimată care conține un executabil compromis. Odată executat, PowerExchange a fost implementat, permițând hackerilor să obțină acces neautorizat și control asupra serverelor Microsoft Exchange compromise. Apoi, actorii amenințărilor folosesc, de asemenea, un shell web urmărit ca ExchangeLeech, care a fost descoperit pentru prima dată în 2020, permițându-le să exfiltreze date sensibile, concentrându-se în primul rând pe furtul acreditărilor utilizatorilor stocate în serverele Microsoft Exchange compromise.
Utilizarea malware-ului PowerExchange, împreună cu ExchangeLeech Web shell, demonstrează tacticile sofisticate folosite de APT34 în activitățile lor amenințătoare. Backdoorul PowerExchange a fost descoperit de o echipă de cercetare asupra sistemelor compromise ale unei organizații guvernamentale cu sediul în Emiratele Arabe Unite.
Cuprins
Programul malware PowerExchange exploatează serverul de schimb al victimei
Programul malware PowerExchange stabilește comunicarea cu serverul Command-and-Control (C2) al operațiunii de atac. Utilizează e-mailurile trimise prin API-ul Exchange Web Services (EWS), utilizând atașamentele text din aceste e-mailuri pentru a trimite informațiile colectate și pentru a primi comenzi codificate în base64. Aceste e-mailuri încearcă să evite atragerea unei examinări suplimentare din partea victimei, având ca subiect „Actualizare Microsoft Edge”.
Utilizarea serverului Exchange al victimei ca canal C2 este o strategie deliberată folosită de actorii amenințărilor. Această abordare permite ușii din spate să se integreze cu traficul legitim, ceea ce face extrem de dificil ca mecanismele de detectare și remediere bazate pe rețea să identifice și să atenueze amenințarea. Prin camuflarea activităților sale în cadrul infrastructurii organizației, actorii amenințărilor pot evita în mod eficient detectarea și pot menține o prezență ascunsă.
Backdoorul PowerExchange oferă operatorilor un control extins asupra serverelor compromise. Le permite să execute diverse comenzi, inclusiv livrarea de încărcături suplimentare amenințătoare pe serverele compromise și exfiltrarea fișierelor recoltate. Această versatilitate dă putere actorilor amenințărilor să-și extindă raza de acțiune și să desfășoare activități dăunătoare în continuare în mediul compromis.
Implanturi suplimentare amenințătoare sunt implementate ca parte a atacurilor PowerExchange Backdoor
Au fost identificate și alte obiective compromise care conțineau diverse alte implanturi nesigure. În special, unul dintre implanturile descoperite a fost ExchangeLeech Web shell, care fusese deghizat ca un fișier numit System.Web.ServiceAuthentication.dll, adoptând convențiile de denumire asociate de obicei cu fișierele IIS legitime.
ExchangeLeech funcționează prin colectarea activă a informațiilor sensibile, țintind în mod special numele de utilizator și parolele persoanelor care se conectează la serverele Exchange compromise folosind autentificarea de bază. Acest lucru se realizează prin capacitatea shell-ului Web de a monitoriza traficul HTTP cu text clar și de a capta acreditările din datele formularelor Web sau din anteturile HTTP.
Pentru a exploata în continuare serverele compromise, atacatorii pot instrui shell-ul web să transmită jurnalele de acreditări colectate prin intermediul parametrilor cookie. Acest lucru le permite să exfiltreze pe ascuns acreditările capturate fără a trezi suspiciuni.
Atacurile PowerExchange sunt atribuite grupului de hackeri APT34
Atacurile PowerExchange au fost atribuite grupului de hacking sponsorizat de stat iranian, cunoscut sub numele de APT34 sau Oilrig. Cercetătorii au făcut această conexiune identificând asemănări izbitoare între malware-ul PowerExchange și malware-ul TriFive utilizat anterior de APT34 pentru a stabili uși în spate în serverele organizațiilor guvernamentale din Kuweit.
Atât PowerExchange, cât și TriFive prezintă asemănări notabile. Ambele se bazează pe PowerShell, sunt activate prin sarcini programate și exploatează serverul Exchange al organizației folosind API-ul EWS ca canal C2. Deși codul acestor uși din spate este în mod clar diferit, cercetătorii speculează că PowerExchange reprezintă o iterație evoluată și îmbunătățită a malware-ului TriFive.
În plus, merită menționat faptul că APT34 folosește în mod constant e-mailurile de phishing ca vector inițial de infecție al operațiunilor lor de atac. Atrăgând victimele să interacționeze cu conținut nesigur sau făcând clic pe link-uri corupte din aceste e-mailuri, APT34 câștigă un loc în mediul vizat, permițându-le să continue cu activitățile lor amenințătoare. Faptul că APT34 a încălcat anterior alte entități din Emiratele Arabe Unite se adaugă la dovezile care le leagă de aceste atacuri.
