Вредоносное ПО PowerExchange
Недавно идентифицированное вредоносное ПО под названием PowerExchange появилось в ходе атак. Этот новый бэкдор использует PowerShell в качестве основного языка сценариев. Вредоносное ПО использовалось для установки бэкдоров на локальных серверах Microsoft Exchange. Инциденты атак, связанные с этой угрозой, могут быть связаны с иранскими государственными хакерами APT34 (Advanced Persistent Threat).
Вектор атаки, использованный злоумышленниками, заключался в проникновении на целевой почтовый сервер через фишинговое письмо. Электронное письмо содержало сжатый архив со скомпрометированным исполняемым файлом. После выполнения PowerExchange был развернут, что позволило хакерам получить несанкционированный доступ и контроль над скомпрометированными серверами Microsoft Exchange. Затем субъекты угрозы также используют веб-оболочку, отслеживаемую как ExchangeLeech, которая была впервые обнаружена в 2020 году, что позволяет им эксфильтровать конфиденциальные данные, в первую очередь сосредоточив внимание на краже учетных данных пользователей, хранящихся на скомпрометированных серверах Microsoft Exchange.
Использование вредоносного ПО PowerExchange в сочетании с веб-оболочкой ExchangeLeech демонстрирует изощренную тактику, используемую APT34 в своих угрозах. Бэкдор PowerExchange был обнаружен исследовательской группой на скомпрометированных системах правительственной организации, базирующейся в Объединенных Арабских Эмиратах.
Оглавление
Вредоносная программа PowerExchange использует сервер Exchange жертвы
Вредоносная программа PowerExchange устанавливает связь с сервером Command-and-Control (C2) операции атаки. Он использует электронные письма, отправляемые через API веб-служб Exchange (EWS), используя текстовые вложения в этих электронных письмах для отправки собранной информации и получения команд в кодировке base64. Эти электронные письма пытаются избежать дополнительного внимания со стороны жертвы, указывая тему «Обновите Microsoft Edge».
Использование сервера Exchange жертвы в качестве канала C2 является преднамеренной стратегией злоумышленников. Такой подход позволяет бэкдору сливаться с легитимным трафиком, что чрезвычайно затрудняет идентификацию и устранение угрозы сетевыми механизмами обнаружения и исправления. Маскируя свою деятельность в рамках инфраструктуры организации, злоумышленники могут эффективно избегать обнаружения и сохранять скрытое присутствие.
Бэкдор PowerExchange предоставляет операторам обширный контроль над скомпрометированными серверами. Это позволяет им выполнять различные команды, включая доставку дополнительных опасных полезных данных на скомпрометированные серверы и эксфильтрацию собранных файлов. Эта универсальность позволяет злоумышленникам расширять свои возможности и выполнять дальнейшие вредоносные действия в скомпрометированной среде.
В рамках бэкдор-атак на PowerExchange развертываются дополнительные угрожающие имплантаты
Также были выявлены дополнительные скомпрометированные конечные точки, которые содержали различные другие небезопасные имплантаты. Примечательно, что одним из обнаруженных имплантатов была веб-оболочка ExchangeLeech, которая была замаскирована под файл с именем System.Web.ServiceAuthentication.dll, применяя соглашения об именах, обычно связанные с законными файлами IIS.
ExchangeLeech действует путем активного сбора конфиденциальной информации, в частности, для имен пользователей и паролей лиц, которые входят на скомпрометированные серверы Exchange, используя обычную аутентификацию. Это достигается за счет способности веб-оболочки отслеживать HTTP-трафик в виде открытого текста и получать учетные данные из данных веб-формы или заголовков HTTP.
Для дальнейшего использования скомпрометированных серверов злоумышленники могут указать веб-оболочке передавать собранные журналы учетных данных через параметры файлов cookie. Это позволяет им тайно эксфильтровать захваченные учетные данные, не вызывая подозрений.
Атаки PowerExchange приписываются хакерской группе APT34
Атаки на PowerExchange были приписаны спонсируемой иранским государством хакерской группе, известной как APT34 или Oilrig. Исследователи установили эту связь, обнаружив поразительное сходство между вредоносным ПО PowerExchange и вредоносным ПО TriFive, ранее использовавшимся APT34 для установки бэкдоров на серверах кувейтских правительственных организаций.
И PowerExchange, и TriFive имеют заметное сходство. Оба они основаны на PowerShell, активируются с помощью запланированных задач и используют сервер Exchange организации, используя API EWS в качестве канала C2. Хотя код этих бэкдоров явно отличается, исследователи предполагают, что PowerExchange представляет собой усовершенствованную и улучшенную итерацию вредоносного ПО TriFive.
Кроме того, стоит упомянуть, что APT34 постоянно использует фишинговые электронные письма в качестве начального вектора заражения своих атак. Побуждая жертв взаимодействовать с небезопасным содержимым или нажимая на поврежденные ссылки в этих электронных письмах, APT34 закрепляется в целевой среде, позволяя им продолжать свои угрожающие действия. Тот факт, что APT34 ранее взламывал другие объекты в Объединенных Арабских Эмиратах, добавляет доказательств их связи с этими атаками.
