PowerExchange மால்வேர்
பவர்எக்ஸ்சேஞ்ச் என்ற பெயரில் புதிதாக அடையாளம் காணப்பட்ட மால்வேர் தாக்குதல் நடவடிக்கைகளில் வெளிவந்துள்ளது. இந்த நாவல் பின்கதவு அதன் முதன்மை ஸ்கிரிப்டிங் மொழியாக PowerShell ஐப் பயன்படுத்துகிறது. மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சர்வர்களில் பின்கதவுகளை நிறுவ தீம்பொருள் பயன்படுத்தப்பட்டது. அச்சுறுத்தல் சம்பந்தப்பட்ட தாக்குதல் சம்பவங்கள் APT34 (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) ஈரானிய அரச ஹேக்கர்களுடன் இணைக்கப்படலாம்.
அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்பட்ட தாக்குதல் திசையன், ஃபிஷிங் மின்னஞ்சல் மூலம் இலக்கிடப்பட்ட அஞ்சல் சேவையகத்திற்குள் ஊடுருவியது. மின்னஞ்சலில் சமரசம் செய்யப்பட்ட செயல்படுத்தக்கூடிய சுருக்கப்பட்ட காப்பகம் உள்ளது. செயல்படுத்தப்பட்டதும், PowerExchange பயன்படுத்தப்பட்டது, இது ஹேக்கர்கள் அங்கீகரிக்கப்படாத அணுகலைப் பெறவும், சமரசம் செய்யப்பட்ட மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சேவையகங்களைக் கட்டுப்படுத்தவும் உதவுகிறது. அடுத்து, அச்சுறுத்தல் நடிகர்கள் ExchangeLeech என கண்காணிக்கப்பட்ட ஒரு வலை ஷெல்லையும் பயன்படுத்துகின்றனர், இது 2020 இல் முதன்முதலில் கண்டுபிடிக்கப்பட்டது, இது முக்கியமான தரவை வெளியேற்ற உதவுகிறது, முதன்மையாக சமரசம் செய்யப்பட்ட மைக்ரோசாஃப்ட் எக்ஸ்சேஞ்ச் சேவையகங்களுக்குள் சேமிக்கப்பட்ட பயனர் நற்சான்றிதழ்களை திருடுவதில் கவனம் செலுத்துகிறது.
PowerExchange தீம்பொருளின் பயன்பாடு, ExchangeLeech Web shell உடன் இணைந்து, APT34 அவர்களின் அச்சுறுத்தும் நடவடிக்கைகளில் கையாண்ட அதிநவீன தந்திரங்களை நிரூபிக்கிறது. ஐக்கிய அரபு எமிரேட்ஸை தளமாகக் கொண்ட ஒரு அரசாங்க அமைப்பின் சமரசம் செய்யப்பட்ட அமைப்புகளின் ஆராய்ச்சி குழுவால் PowerExchange பின்கதவு கண்டுபிடிக்கப்பட்டது.
பொருளடக்கம்
PowerExchange மால்வேர் பாதிக்கப்பட்டவரின் பரிமாற்ற சேவையகத்தை பயன்படுத்துகிறது
PowerExchange மால்வேர் தாக்குதல் செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் தொடர்பை ஏற்படுத்துகிறது. இது Exchange Web Services (EWS) API மூலம் அனுப்பப்படும் மின்னஞ்சல்களைப் பயன்படுத்துகிறது, இந்த மின்னஞ்சல்களில் உள்ள உரை இணைப்புகளைப் பயன்படுத்தி சேகரிக்கப்பட்ட தகவலை அனுப்பவும், base64-குறியீடு செய்யப்பட்ட கட்டளைகளைப் பெறவும் பயன்படுகிறது. இந்த மின்னஞ்சல்கள், 'மைக்ரோசாஃப்ட் எட்ஜைப் புதுப்பிக்கவும்' என்ற தலைப்பைக் கொண்டு, பாதிக்கப்பட்டவரின் கூடுதல் ஆய்வுகளை ஈர்ப்பதைத் தவிர்க்க முயற்சிக்கின்றன.
பாதிக்கப்பட்டவரின் பரிமாற்ற சேவையகத்தை C2 சேனலாகப் பயன்படுத்துவது அச்சுறுத்தல் நடிகர்களால் வேண்டுமென்றே பயன்படுத்தப்படும் உத்தியாகும். இந்த அணுகுமுறை பின்கதவை முறையான ட்ராஃபிக்குடன் இணைக்க அனுமதிக்கிறது, இது நெட்வொர்க் அடிப்படையிலான கண்டறிதல் மற்றும் தீர்வு வழிமுறைகளுக்கு அச்சுறுத்தலைக் கண்டறிந்து தணிக்க மிகவும் கடினமாகிறது. நிறுவனத்தின் உள்கட்டமைப்பிற்குள் அதன் செயல்பாடுகளை மறைப்பதன் மூலம், அச்சுறுத்தல் நடிகர்கள் திறம்பட கண்டறிதலைத் தவிர்க்கலாம் மற்றும் இரகசிய இருப்பை பராமரிக்கலாம்.
PowerExchange பின்கதவு ஆபரேட்டர்களுக்கு சமரசம் செய்யப்பட்ட சேவையகங்களின் மீது விரிவான கட்டுப்பாட்டை வழங்குகிறது. சமரசம் செய்யப்பட்ட சேவையகங்களுக்கு கூடுதல் அச்சுறுத்தும் பேலோடுகளை வழங்குதல் மற்றும் அறுவடை செய்யப்பட்ட கோப்புகளை வெளியேற்றுதல் உள்ளிட்ட பல்வேறு கட்டளைகளை செயல்படுத்த இது அவர்களுக்கு உதவுகிறது. இந்த பன்முகத்தன்மை அச்சுறுத்தல் நடிகர்களுக்கு அவர்களின் வரம்பை விரிவுபடுத்தவும், சமரசம் செய்யப்பட்ட சூழலில் மேலும் தீங்கு விளைவிக்கும் செயல்களைச் செய்யவும் அதிகாரம் அளிக்கிறது.
PowerExchange பின்கதவு தாக்குதல்களின் ஒரு பகுதியாக கூடுதல் அச்சுறுத்தும் உள்வைப்புகள் பயன்படுத்தப்படுகின்றன
பல்வேறு பாதுகாப்பற்ற உள்வைப்புகளைக் கொண்ட கூடுதல் சமரசம் செய்யப்பட்ட இறுதிப்புள்ளிகளும் அடையாளம் காணப்பட்டுள்ளன. குறிப்பிடத்தக்க வகையில், கண்டுபிடிக்கப்பட்ட உள்வைப்புகளில் ஒன்று ExchangeLeech வெப் ஷெல் ஆகும், இது System.Web.ServiceAuthentication.dll என பெயரிடப்பட்ட கோப்பாக மாறுவேடமிடப்பட்டது, பொதுவாக முறையான IIS கோப்புகளுடன் தொடர்புடைய பெயரிடும் மரபுகளை ஏற்றுக்கொண்டது.
ExchangeLeech முக்கியமான தகவல்களைச் சேகரிப்பதன் மூலம் செயல்படுகிறது, குறிப்பாக அடிப்படை அங்கீகாரத்தைப் பயன்படுத்தி சமரசம் செய்யப்பட்ட எக்ஸ்சேஞ்ச் சேவையகங்களில் உள்நுழையும் நபர்களின் பயனர்பெயர்கள் மற்றும் கடவுச்சொற்களை குறிவைக்கிறது. தெளிவான உரை HTTP ட்ராஃபிக்கைக் கண்காணிக்கும் மற்றும் வலைப் படிவத் தரவு அல்லது HTTP தலைப்புகளிலிருந்து நற்சான்றிதழ்களைப் பிடிக்கும் வலை ஷெல்லின் திறனின் மூலம் இது அடையப்படுகிறது.
சமரசம் செய்யப்பட்ட சேவையகங்களை மேலும் பயன்படுத்த, தாக்குபவர்கள் குக்கீ அளவுருக்கள் வழியாக சேகரிக்கப்பட்ட நற்சான்றிதழ் பதிவுகளை அனுப்ப வலை ஷெல்லுக்கு அறிவுறுத்தலாம். சந்தேகத்திற்கு இடமின்றி கைப்பற்றப்பட்ட நற்சான்றிதழ்களை இரகசியமாக வெளியேற்ற இது அனுமதிக்கிறது.
PowerExchange தாக்குதல்கள் APT34 ஹேக்கர் குழுவிற்குக் காரணம்
PowerExchange தாக்குதல்கள் APT34 அல்லது Oilrig என அழைக்கப்படும் ஈரானிய அரசால் வழங்கப்பட்ட ஹேக்கிங் குழுவிற்குக் காரணம். குவைத் அரசாங்க நிறுவனங்களின் சேவையகங்களுக்குள் கதவுகளை நிறுவுவதற்கு முன்பு APT34 ஆல் பயன்படுத்தப்பட்ட PowerExchange மால்வேர் மற்றும் TriFive மால்வேர் ஆகியவற்றுக்கு இடையே உள்ள குறிப்பிடத்தக்க ஒற்றுமைகளை அடையாளம் காண்பதன் மூலம் ஆராய்ச்சியாளர்கள் இந்த இணைப்பை உருவாக்கியுள்ளனர்.
PowerExchange மற்றும் TriFive இரண்டும் குறிப்பிடத்தக்க ஒற்றுமைகளை வெளிப்படுத்துகின்றன. அவை இரண்டும் PowerShell ஐ அடிப்படையாகக் கொண்டவை, திட்டமிடப்பட்ட பணிகளின் மூலம் செயல்படுத்தப்படுகின்றன, மேலும் EWS API ஐ C2 சேனலாகப் பயன்படுத்தி நிறுவனத்தின் பரிமாற்றச் சேவையகத்தைப் பயன்படுத்துகின்றன. இந்த பின்கதவுகளின் குறியீடு தெளிவாக வேறுபட்டிருந்தாலும், பவர்எக்ஸ்சேஞ்ச் டிரைஃபைவ் தீம்பொருளின் வளர்ச்சியடைந்த மற்றும் மேம்படுத்தப்பட்ட மறு செய்கையை பிரதிபலிக்கிறது என்று ஆராய்ச்சியாளர்கள் ஊகிக்கின்றனர்.
மேலும், APT34 ஃபிஷிங் மின்னஞ்சல்களை அவற்றின் தாக்குதல் நடவடிக்கைகளின் ஆரம்ப தொற்று திசையனாக தொடர்ந்து பயன்படுத்துகிறது என்பது குறிப்பிடத்தக்கது. பாதுகாப்பற்ற உள்ளடக்கத்துடன் தொடர்பு கொள்ள பாதிக்கப்பட்டவர்களை கவர்ந்திழுப்பதன் மூலம் அல்லது இந்த மின்னஞ்சல்களில் உள்ள சிதைந்த இணைப்புகளை கிளிக் செய்வதன் மூலம், APT34 இலக்கு சூழலில் ஒரு இடத்தைப் பெறுகிறது, இது அவர்களின் அச்சுறுத்தும் நடவடிக்கைகளைத் தொடர உதவுகிறது. APT34 ஐக்கிய அரபு எமிரேட்ஸில் உள்ள பிற நிறுவனங்களை இதற்கு முன்பு மீறியுள்ளது என்பது இந்தத் தாக்குதல்களுடன் அவர்களை இணைப்பதற்கான ஆதாரங்களைச் சேர்க்கிறது.
