Škodlivý softvér PowerExchange
V útočných operáciách sa objavil novo identifikovaný malvér s názvom PowerExchange. Tento nový backdoor využíva PowerShell ako svoj primárny skriptovací jazyk. Malvér bol použitý na vytvorenie zadných vrátok na lokálnych serveroch Microsoft Exchange. Incidenty útoku zahŕňajúce hrozbu by mohli súvisieť s hackermi iránskeho štátu APT34 (Advanced Persistent Threat).
Vektor útoku použitý aktérmi hrozby zahŕňal infiltráciu cieľového poštového servera prostredníctvom phishingového e-mailu. E-mail obsahoval komprimovaný archív s kompromitovaným spustiteľným súborom. Po spustení bola nasadená PowerExchange, čo hackerom umožnilo získať neoprávnený prístup a kontrolu nad napadnutými servermi Microsoft Exchange. Ďalej aktéri hrozieb využívajú aj webový shell sledovaný ako ExchangeLeech, ktorý bol prvýkrát odhalený v roku 2020, čo im umožňuje exfiltrovať citlivé údaje, predovšetkým so zameraním na krádež používateľských poverení uložených na napadnutých serveroch Microsoft Exchange.
Použitie malvéru PowerExchange v spojení s webovým shellom ExchangeLeech demonštruje sofistikovanú taktiku používanú APT34 pri svojich ohrozujúcich aktivitách. Backdoor PowerExchange objavil výskumný tím na kompromitovaných systémoch vládnej organizácie so sídlom v Spojených arabských emirátoch.
Obsah
Malvér PowerExchange využíva server Exchange obete
Malvér PowerExchange nadviaže komunikáciu so serverom Command-and-Control (C2) operácie útoku. Využíva e-maily odosielané prostredníctvom rozhrania Exchange Web Services (EWS) API, pričom využíva textové prílohy v rámci týchto e-mailov na odosielanie zhromaždených informácií a prijímanie príkazov kódovaných v base64. Tieto e-maily sa snažia vyhnúť tomu, aby obete prilákali ďalšie skúmanie tým, že obsahujú predmet „Aktualizovať Microsoft Edge“.
Využitie Exchange servera obete ako kanála C2 je zámerná stratégia, ktorú používajú aktéri hrozby. Tento prístup umožňuje, aby sa zadné vrátka spojili s legitímnou prevádzkou, čo značne sťažuje sieťovým detekčným a nápravným mechanizmom identifikáciu a zmiernenie hrozby. Zakamuflovaním svojich aktivít v rámci infraštruktúry organizácie sa môžu aktéri hrozby účinne vyhnúť odhaleniu a udržiavať skrytú prítomnosť.
Backdoor PowerExchange poskytuje operátorom rozsiahlu kontrolu nad napadnutými servermi. Umožňuje im vykonávať rôzne príkazy, vrátane doručovania ďalších hrozivých dát na napadnuté servery a exfiltrácie zozbieraných súborov. Táto všestrannosť umožňuje aktérom hrozby rozšíriť svoj dosah a vykonávať ďalšie škodlivé činnosti v ohrozenom prostredí.
Dodatočné hrozivé implantáty sú nasadené ako súčasť Backdoor Attacks PowerExchange
Boli identifikované aj ďalšie ohrozené koncové body, ktoré obsahovali rôzne iné nebezpečné implantáty. Jedným z objavených implantátov bol webový shell ExchangeLeech, ktorý bol maskovaný ako súbor s názvom System.Web.ServiceAuthentication.dll, ktorý prijal konvencie pomenovania, ktoré sa zvyčajne spájajú s legitímnymi súbormi IIS.
ExchangeLeech funguje tak, že aktívne zhromažďuje citlivé informácie, konkrétne sa zameriava na používateľské mená a heslá jednotlivcov, ktorí sa prihlasujú na napadnuté servery Exchange pomocou základnej autentifikácie. Dosahuje sa to prostredníctvom schopnosti webového prostredia monitorovať prenos HTTP vo forme čistého textu a zachytávať poverenia z údajov webového formulára alebo hlavičiek HTTP.
Na ďalšie zneužitie napadnutých serverov môžu útočníci prikázať webovému shellu, aby odoslal zhromaždené protokoly poverení prostredníctvom parametrov súborov cookie. To im umožňuje tajne preniknúť zachytené poverenia bez vzbudenia podozrenia.
Útoky PowerExchange sú pripísané skupine APT34 Hacker Group
Útoky na PowerExchange boli pripísané iránskej štátom podporovanej hackerskej skupine známej ako APT34 alebo Oilrig. Výskumníci vytvorili toto spojenie identifikovaním nápadných podobností medzi malvérom PowerExchange a malvérom TriFive, ktorý predtým používal APT34 na vytvorenie zadných vrátok na serveroch kuvajtských vládnych organizácií.
PowerExchange aj TriFive vykazujú pozoruhodné podobnosti. Obe sú založené na prostredí PowerShell, aktivujú sa prostredníctvom naplánovaných úloh a využívajú server Exchange organizácie pomocou rozhrania EWS API ako kanála C2. Aj keď je kód týchto zadných vrátok jasne odlišný, vedci špekulujú, že PowerExchange predstavuje vylepšenú a vylepšenú iteráciu malvéru TriFive.
Okrem toho stojí za zmienku, že APT34 dôsledne využíva phishingové e-maily ako počiatočný vektor infekcie ich útočných operácií. Nabádaním obetí na interakciu s nebezpečným obsahom alebo klikaním na poškodené odkazy v týchto e-mailoch získava APT34 oporu v cieľovom prostredí, čo im umožňuje pokračovať vo svojich ohrozujúcich aktivitách. Skutočnosť, že APT34 predtým porušila iné entity v Spojených arabských emirátoch, prispieva k dôkazom, ktoré ich spájajú s týmito útokmi.
