PowerExchange skadlig programvara
En nyligen identifierad skadlig programvara vid namn PowerExchange har dykt upp i attackoperationer. Denna nya bakdörr använder PowerShell som sitt primära skriptspråk. Skadlig programvara användes för att skapa bakdörrar på lokala Microsoft Exchange-servrar. Attackincidenterna som involverar hotet kan kopplas till APT34 (Advanced Persistent Threat) iranska statliga hackare.
Attackvektorn som användes av hotaktörerna involverade att infiltrera den riktade e-postservern genom ett nätfiske-e-postmeddelande. E-postmeddelandet innehöll ett komprimerat arkiv med en komprometterad körbar fil. När PowerExchange väl körts distribuerades det, vilket gjorde det möjligt för hackarna att få obehörig åtkomst och kontroll över de komprometterade Microsoft Exchange-servrarna. Därefter använder hotaktörerna också ett webbskal som spåras som ExchangeLeech, som först avslöjades 2020, vilket gör det möjligt för dem att exfiltrera känslig data, främst med fokus på stöld av användaruppgifter lagrade i de komprometterade Microsoft Exchange-servrarna.
Användningen av PowerExchange skadlig kod, tillsammans med ExchangeLeech webbskal, visar den sofistikerade taktiken som används av APT34 i deras hotfulla aktiviteter. PowerExchange-bakdörren upptäcktes av en forskargrupp om de komprometterade systemen hos en statlig organisation baserad i Förenade Arabemiraten.
Innehållsförteckning
PowerExchange-malwaren utnyttjar offrets Exchange-server
Skadlig programvara PowerExchange upprättar kommunikation med Command-and-Control-servern (C2) för attackoperationen. Det utnyttjar e-postmeddelanden som skickas via Exchange Web Services (EWS) API, och använder textbilagor i dessa e-postmeddelanden för att skicka insamlad information och ta emot base64-kodade kommandon. Dessa e-postmeddelanden försöker undvika att locka till sig ytterligare granskning av offret genom att bära ämnesraden "Uppdatera Microsoft Edge."
Användningen av offrets Exchange-server som C2-kanal är en medveten strategi som används av hotaktörerna. Detta tillvägagångssätt gör att bakdörren smälter in med legitim trafik, vilket gör det ytterst svårt för nätverksbaserade mekanismer för upptäckt och sanering att identifiera och mildra hotet. Genom att kamouflera dess aktiviteter inom organisationens infrastruktur kan hotaktörerna effektivt undvika upptäckt och upprätthålla en hemlig närvaro.
PowerExchange-bakdörren ger operatörerna omfattande kontroll över de servrarna som är utsatta för intrång. Det gör det möjligt för dem att utföra olika kommandon, inklusive leverans av ytterligare hotfulla nyttolaster till de komprometterade servrarna och exfiltrering av skördade filer. Denna mångsidighet ger hotaktörerna möjlighet att utöka sin räckvidd och utföra ytterligare skadliga aktiviteter i den utsatta miljön.
Ytterligare hotfulla implantat distribueras som en del av PowerExchange-bakdörrsattackerna
Ytterligare komprometterade endpoints som innehöll olika andra osäkra implantat har också identifierats. Noterbart är att ett av de upptäckta implantaten var ExchangeLeech-webbskalet, som hade förkläts till en fil med namnet System.Web.ServiceAuthentication.dll, som anammade de namnkonventioner som vanligtvis förknippas med legitima IIS-filer.
ExchangeLeech arbetar genom att aktivt samla in känslig information, specifikt inriktad på användarnamn och lösenord för individer som loggar in på de utsatta Exchange-servrarna med hjälp av grundläggande autentisering. Detta uppnås genom webbskalets förmåga att övervaka HTTP-trafik med klartext och fånga inloggningsuppgifter från webbformulärdata eller HTTP-rubriker.
För att ytterligare utnyttja de komprometterade servrarna kan angriparna instruera webbskalet att överföra de insamlade autentiseringsloggarna via cookieparametrar. Detta tillåter dem att i hemlighet exfiltrera de fångade referenserna utan att väcka misstankar.
PowerExchange-attackerna tillskrivs APT34 Hacker Group
PowerExchange-attackerna har tillskrivits den iranska statssponsrade hackergruppen känd som APT34 eller Oilrig. Forskarna skapade denna koppling genom att identifiera slående likheter mellan PowerExchange malware och TriFive malware som tidigare använts av APT34 för att etablera bakdörrar inom kuwaitiska regeringsorganisationers servrar.
Både PowerExchange och TriFive uppvisar anmärkningsvärda likheter. De är båda baserade på PowerShell, aktiverade genom schemalagda uppgifter och utnyttjar organisationens Exchange-server med hjälp av EWS API som C2-kanal. Även om koden för dessa bakdörrar är helt klart annorlunda, spekulerar forskarna att PowerExchange representerar en utvecklad och förbättrad iteration av TriFive malware.
Dessutom är det värt att nämna att APT34 konsekvent använder nätfiske-e-postmeddelanden som en initial infektionsvektor för deras attackoperationer. Genom att locka offer att interagera med osäkert innehåll eller klicka på korrupta länkar i dessa e-postmeddelanden, får APT34 fotfäste i den riktade miljön, vilket gör att de kan fortsätta med sina hotfulla aktiviteter. Det faktum att APT34 tidigare har brutit mot andra enheter i Förenade Arabemiraten kompletterar bevisen som kopplar dem till dessa attacker.
