Zlonamerna programska oprema PowerExchange
Na novo identificirana zlonamerna programska oprema, imenovana PowerExchange, se je pojavila med operacijami napada. Ta nova stranska vrata uporablja PowerShell kot primarni skriptni jezik. Zlonamerna programska oprema je bila uporabljena za vzpostavitev stranskih vrat na lokalnih strežnikih Microsoft Exchange. Napadi, ki vključujejo grožnjo, bi lahko bili povezani z iranskimi državnimi hekerji APT34 (Advanced Persistent Threat).
Vektor napada, ki so ga uporabili akterji groženj, je vključeval infiltracijo v ciljni poštni strežnik prek phishing e-pošte. E-poštno sporočilo je vsebovalo stisnjen arhiv, v katerem je bila ogrožena izvršljiva datoteka. Ko je bil izveden, je bil PowerExchange uveden, kar je hekerjem omogočilo nepooblaščen dostop in nadzor nad ogroženimi strežniki Microsoft Exchange. Nato akterji groženj uporabljajo tudi spletno lupino, ki jo spremljajo kot ExchangeLeech, ki je bila prvič odkrita leta 2020, kar jim omogoča izločanje občutljivih podatkov, pri čemer se osredotoča predvsem na krajo uporabniških poverilnic, shranjenih v ogroženih strežnikih Microsoft Exchange.
Uporaba zlonamerne programske opreme PowerExchange v povezavi s spletno lupino ExchangeLeech dokazuje prefinjeno taktiko, ki jo uporablja APT34 pri svojih grozečih dejavnostih. Zadnja vrata PowerExchange je odkrila raziskovalna skupina o ogroženih sistemih vladne organizacije s sedežem v Združenih arabskih emiratih.
Kazalo
Zlonamerna programska oprema PowerExchange izkorišča strežnik Exchange žrtve
Zlonamerna programska oprema PowerExchange vzpostavi komunikacijo s strežnikom Command-and-Control (C2) operacije napada. Izkorišča e-poštna sporočila, poslana prek API-ja za spletne storitve Exchange (EWS), pri čemer uporablja besedilne priloge v teh e-poštnih sporočilih za pošiljanje zbranih informacij in prejemanje ukazov, kodiranih z base64. Ta e-poštna sporočila se skušajo izogniti dodatnemu nadzoru žrtve, tako da vsebujejo zadevo »Posodobite Microsoft Edge«.
Uporaba žrtvinega strežnika Exchange kot kanala C2 je premišljena strategija, ki jo uporabljajo akterji groženj. Ta pristop omogoča, da se stranska vrata zlijejo z zakonitim prometom, kar zelo oteži omrežne mehanizme za odkrivanje in sanacijo, da prepoznajo in ublažijo grožnjo. S prikrivanjem svojih dejavnosti v infrastrukturo organizacije se lahko akterji groženj učinkovito izognejo odkrivanju in ohranijo prikrito prisotnost.
Zadnja vrata PowerExchange operaterjem zagotavljajo obsežen nadzor nad ogroženimi strežniki. Omogoča jim izvajanje različnih ukazov, vključno z dostavo dodatnega nevarnega koristnega tovora na ogrožene strežnike in izločanje pridobljenih datotek. Ta vsestranskost omogoča akterjem groženj, da razširijo svoj doseg in izvajajo nadaljnje škodljive dejavnosti v ogroženem okolju.
Dodatni nevarni vsadki so nameščeni kot del napadov prek vrat PowerExchange
Ugotovljene so bile tudi dodatne ogrožene končne točke, ki so vsebovale različne druge nevarne vsadke. Predvsem eden od odkritih vsadkov je bila spletna lupina ExchangeLeech, ki je bila prikrita v datoteko z imenom System.Web.ServiceAuthentication.dll, pri čemer je sprejela pravila poimenovanja, ki so običajno povezana z legitimnimi datotekami IIS.
ExchangeLeech deluje tako, da aktivno zbira občutljive podatke, posebej cilja na uporabniška imena in gesla posameznikov, ki se prijavijo v ogrožene strežnike Exchange z uporabo osnovne avtentikacije. To je doseženo z zmožnostjo spletne lupine, da spremlja promet HTTP z jasnim besedilom in zajema poverilnice iz podatkov spletnega obrazca ali glav HTTP.
Za nadaljnje izkoriščanje ogroženih strežnikov lahko napadalci ukažejo spletni lupini, naj posreduje zbrane dnevnike poverilnic prek parametrov piškotka. To jim omogoča, da prikrito odtujijo zajete poverilnice, ne da bi vzbudili sum.
Napadi na PowerExchange se pripisujejo hekerski skupini APT34
Napade na PowerExchange so pripisali hekerski skupini, ki jo sponzorira iranska država in je znana kot APT34 ali Oilrig. Raziskovalci so vzpostavili to povezavo tako, da so odkrili osupljive podobnosti med zlonamerno programsko opremo PowerExchange in zlonamerno programsko opremo TriFive, ki jo je APT34 prej uporabljal za vzpostavitev stranskih vrat v strežnikih kuvajtskih vladnih organizacij.
Tako PowerExchange kot TriFive sta si precej podobna. Oba temeljita na lupini PowerShell, aktivirata se z načrtovanimi opravili in izkoriščata strežnik Exchange organizacije z uporabo API-ja EWS kot kanala C2. Čeprav je koda teh stranskih vrat očitno drugačna, raziskovalci domnevajo, da PowerExchange predstavlja razvito in izboljšano ponovitev zlonamerne programske opreme TriFive.
Poleg tega je treba omeniti, da APT34 dosledno uporablja lažna e-poštna sporočila kot začetni vektor okužbe svojih operacij napada. S privabljanjem žrtev k interakciji z nevarno vsebino ali klikanjem poškodovanih povezav v teh e-poštnih sporočilih si APT34 pridobi oporo v ciljnem okolju in jim omogoči, da nadaljujejo s svojimi grozečimi dejavnostmi. Dejstvo, da je APT34 že vdrl v druge subjekte v Združenih arabskih emiratih, povečuje dokaze, ki jih povezujejo s temi napadi.
