Malware PowerExchange
Një malware i sapoidentifikuar i quajtur PowerExchange është shfaqur në operacionet e sulmit. Ky "backdoor" i ri përdor PowerShell si gjuhën e tij kryesore të skriptimit. Malware u përdor për të krijuar dyer të pasme në serverët e Microsoft Exchange. Incidentet e sulmit që përfshijnë kërcënimin mund të lidhen me hakerët shtetërorë iranianë APT34 (Kërcënimi i Përparuar i Përparuar).
Vektori i sulmit i përdorur nga aktorët e kërcënimit përfshinte infiltrimin e serverit të postës së synuar përmes një emaili phishing. Email-i përmbante një arkiv të ngjeshur që strehonte një ekzekutues të komprometuar. Pasi u ekzekutua, PowerExchange u vendos, duke u mundësuar hakerëve të fitojnë akses dhe kontroll të paautorizuar mbi serverët e komprometuar të Microsoft Exchange. Më pas, aktorët e kërcënimit përdorin gjithashtu një guaskë në internet të gjurmuar si ExchangeLeech, e cila u zbulua për herë të parë në vitin 2020, duke u mundësuar atyre të eksplorojnë të dhëna të ndjeshme, duke u fokusuar kryesisht në vjedhjen e kredencialeve të përdoruesve të ruajtura brenda serverëve të komprometuar të Microsoft Exchange.
Përdorimi i malware PowerExchange, në lidhje me guaskën Web ExchangeLeech, demonstron taktikat e sofistikuara të përdorura nga APT34 në aktivitetet e tyre kërcënuese. Porta e pasme e PowerExchange u zbulua nga një ekip kërkimor mbi sistemet e komprometuara të një organizate qeveritare me bazë në Emiratet e Bashkuara Arabe.
Tabela e Përmbajtjes
Malware PowerExchange shfrytëzon serverin e shkëmbimit të viktimës
Malware PowerExchange krijon komunikim me serverin Command-and-Control (C2) të operacionit të sulmit. Ai përdor emailet e dërguara përmes API-së së Shërbimeve të Uebit të Exchange (EWS), duke përdorur bashkëngjitjet e tekstit brenda këtyre emaileve për të dërguar informacionin e mbledhur dhe për të marrë komanda të koduara me bazë64. Këto emaile përpiqen të shmangin tërheqjen e një kontrolli shtesë nga viktima duke mbajtur rreshtin e temës "Përditëso Microsoft Edge".
Përdorimi i serverit Exchange të viktimës si kanal C2 është një strategji e qëllimshme e përdorur nga aktorët e kërcënimit. Kjo qasje lejon që porta e pasme të përzihet me trafikun legjitim, duke e bërë jashtëzakonisht të vështirë për mekanizmat e zbulimit dhe korrigjimit të bazuar në rrjet për të identifikuar dhe zbutur kërcënimin. Duke kamufluar aktivitetet e saj brenda infrastrukturës së organizatës, aktorët e kërcënimit mund të shmangin efektivisht zbulimin dhe të mbajnë një prani të fshehtë.
Backdoor PowerExchange u siguron operatorëve kontroll të gjerë mbi serverët e komprometuar. Ai u mundëson atyre të ekzekutojnë komanda të ndryshme, duke përfshirë dërgimin e ngarkesave shtesë kërcënuese në serverët e komprometuar dhe ekfiltrimin e skedarëve të mbledhur. Kjo shkathtësi i fuqizon aktorët e kërcënimit të zgjerojnë shtrirjen e tyre dhe të kryejnë aktivitete të mëtejshme të dëmshme brenda mjedisit të komprometuar.
Implante shtesë kërcënuese vendosen si pjesë e sulmeve të pasme të PowerExchange
Janë identifikuar edhe pika të tjera të komprometuara që përmbanin implante të tjera të pasigurta. Veçanërisht, një nga implantet e zbuluara ishte guaska e ExchangeLeech Web, e cila ishte maskuar si një skedar i quajtur System.Web.ServiceAuthentication.dll, duke miratuar konventat e emërtimit që zakonisht lidhen me skedarët legjitimë të IIS.
ExchangeLeech funksionon duke mbledhur në mënyrë aktive informacione të ndjeshme, duke synuar në mënyrë specifike emrat e përdoruesve dhe fjalëkalimet e individëve që hyjnë në serverët e komprometuar të Exchange duke përdorur vërtetimin bazë. Kjo arrihet nëpërmjet aftësisë së Web shell për të monitoruar trafikun HTTP me tekst të qartë dhe për të kapur kredencialet nga të dhënat e formularit të uebit ose titujt HTTP.
Për të shfrytëzuar më tej serverët e komprometuar, sulmuesit mund të udhëzojnë Web shell të transmetojë regjistrat e mbledhur të kredencialeve nëpërmjet parametrave të cookie-ve. Kjo u lejon atyre të eksplorojnë fshehurazi kredencialet e kapura pa ngjallur dyshime.
Sulmet e PowerExchange i atribuohen Grupit të Hakerëve APT34
Sulmet e PowerExchange i janë atribuar grupit të hakerëve të sponsorizuar nga shteti iranian i njohur si APT34 ose Oilrig. Studiuesit e bënë këtë lidhje duke identifikuar ngjashmëritë e habitshme midis malware PowerExchange dhe malware TriFive të përdorur më parë nga APT34 për të krijuar prapaskenë brenda serverëve të organizatave qeveritare të Kuvajtit.
Si PowerExchange ashtu edhe TriFive shfaqin ngjashmëri të dukshme. Të dyja bazohen në PowerShell, aktivizohen përmes detyrave të planifikuara dhe shfrytëzojnë serverin Exchange të organizatës duke përdorur EWS API si kanal C2. Megjithëse kodi i këtyre dyerve të pasme është qartësisht i ndryshëm, studiuesit spekulojnë se PowerExchange përfaqëson një përsëritje të evoluar dhe të përmirësuar të malware TriFive.
Për më tepër, vlen të përmendet se APT34 përdor vazhdimisht email phishing si një vektor fillestar infeksioni të operacioneve të tyre të sulmit. Duke i joshur viktimat që të ndërveprojnë me përmbajtje të pasigurt ose duke klikuar në lidhje të korruptuara brenda këtyre emaileve, APT34 fiton një terren në mjedisin e synuar, duke u mundësuar atyre të vazhdojnë me aktivitetet e tyre kërcënuese. Fakti që APT34 ka shkelur më parë entitete të tjera në Emiratet e Bashkuara Arabe shton provat që i lidhin ato me këto sulme.
