Threat Database Malware PowerExchange మాల్వేర్

PowerExchange మాల్వేర్

దాడి కార్యకలాపాలలో PowerExchange పేరుతో కొత్తగా గుర్తించబడిన మాల్వేర్ ఉద్భవించింది. ఈ నవల బ్యాక్‌డోర్ పవర్‌షెల్‌ను దాని ప్రాథమిక స్క్రిప్టింగ్ భాషగా ఉపయోగిస్తుంది. మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ సర్వర్‌లలో బ్యాక్‌డోర్‌లను ఏర్పాటు చేయడానికి మాల్వేర్ ఉపయోగించబడింది. ముప్పుతో కూడిన దాడి సంఘటనలు APT34 (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) ఇరానియన్ స్టేట్ హ్యాకర్‌లతో ముడిపడి ఉండవచ్చు.

బెదిరింపు నటులు ఉపయోగించిన దాడి వెక్టర్ ఫిషింగ్ ఇమెయిల్ ద్వారా లక్షిత మెయిల్ సర్వర్‌లోకి చొరబడుతోంది. ఇమెయిల్‌లో కంప్రెస్డ్ ఆర్కైవ్ హౌసింగ్ రాజీ చేయబడిన ఎక్జిక్యూటబుల్ ఉంది. ఒకసారి అమలు చేయబడిన తర్వాత, PowerExchange అమలు చేయబడింది, హ్యాకర్లు అనధికారిక యాక్సెస్ మరియు రాజీపడిన Microsoft Exchange సర్వర్‌లపై నియంత్రణను పొందేందుకు వీలు కల్పిస్తుంది. తర్వాత, బెదిరింపు నటులు ఎక్స్ఛేంజ్ లీచ్‌గా ట్రాక్ చేయబడిన వెబ్ షెల్‌ను కూడా ఉపయోగించుకుంటారు, ఇది 2020లో మొదటిసారిగా కనుగొనబడింది, ఇది సున్నితమైన డేటాను వెలికితీయడానికి వీలు కల్పిస్తుంది, ప్రధానంగా రాజీపడిన మైక్రోసాఫ్ట్ ఎక్స్ఛేంజ్ సర్వర్‌లలో నిల్వ చేయబడిన వినియోగదారు ఆధారాలను దొంగిలించడంపై దృష్టి పెడుతుంది.

PowerExchange మాల్వేర్ వినియోగం, ExchangeLeech వెబ్ షెల్‌తో కలిసి, APT34 వారి బెదిరింపు కార్యకలాపాలలో ఉపయోగించిన అధునాతన వ్యూహాలను ప్రదర్శిస్తుంది. పవర్‌ఎక్స్‌ఛేంజ్ బ్యాక్‌డోర్‌ను యునైటెడ్ అరబ్ ఎమిరేట్స్‌లో ఉన్న ప్రభుత్వ సంస్థ యొక్క రాజీపడిన వ్యవస్థలపై పరిశోధన బృందం కనుగొంది.

PowerExchange మాల్వేర్ బాధితుడి మార్పిడి సర్వర్‌ను దోపిడీ చేస్తుంది

PowerExchange మాల్వేర్ దాడి ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది. ఇది Exchange Web Services (EWS) API ద్వారా పంపబడిన ఇమెయిల్‌లను ప్రభావితం చేస్తుంది, సేకరించిన సమాచారాన్ని పంపడానికి మరియు బేస్64-ఎన్‌కోడ్ ఆదేశాలను స్వీకరించడానికి ఈ ఇమెయిల్‌లలోని టెక్స్ట్ జోడింపులను ఉపయోగిస్తుంది. ఈ ఇమెయిల్‌లు 'మైక్రోసాఫ్ట్ ఎడ్జ్‌ని అప్‌డేట్ చేయండి' అనే సబ్జెక్ట్ లైన్‌ను కలిగి ఉండటం ద్వారా బాధితుడు అదనపు పరిశీలనను ఆకర్షించకుండా ఉండటానికి ప్రయత్నిస్తాయి.

బాధితుడి ఎక్స్ఛేంజ్ సర్వర్‌ను C2 ఛానెల్‌గా ఉపయోగించడం అనేది బెదిరింపు నటులు ఉద్దేశపూర్వక వ్యూహం. ఈ విధానం బ్యాక్‌డోర్‌ను చట్టబద్ధమైన ట్రాఫిక్‌తో కలపడానికి అనుమతిస్తుంది, నెట్‌వర్క్ ఆధారిత గుర్తింపు మరియు నివారణ విధానాలకు ముప్పును గుర్తించడం మరియు తగ్గించడం చాలా కష్టం. సంస్థ యొక్క ఇన్‌ఫ్రాస్ట్రక్చర్‌లో దాని కార్యకలాపాలను మభ్యపెట్టడం ద్వారా, ముప్పు నటులు గుర్తించడాన్ని సమర్థవంతంగా నివారించవచ్చు మరియు రహస్య ఉనికిని కొనసాగించవచ్చు.

PowerExchange బ్యాక్‌డోర్ ఆపరేటర్‌లకు రాజీపడిన సర్వర్‌లపై విస్తృతమైన నియంత్రణను అందిస్తుంది. ఇది రాజీపడిన సర్వర్‌లలోకి అదనపు బెదిరింపు పేలోడ్‌లను బట్వాడా చేయడం మరియు సేకరించిన ఫైల్‌లను వెలికితీయడం వంటి వివిధ ఆదేశాలను అమలు చేయడానికి వారిని అనుమతిస్తుంది. ఈ బహుముఖ ప్రజ్ఞ ముప్పు నటులకు వారి పరిధిని విస్తరించడానికి మరియు రాజీ వాతావరణంలో మరింత హానికరమైన కార్యకలాపాలను నిర్వహించడానికి శక్తినిస్తుంది.

పవర్‌ఎక్స్‌ఛేంజ్ బ్యాక్‌డోర్ అటాక్స్‌లో భాగంగా అదనపు బెదిరింపు ఇంప్లాంట్లు అమర్చబడ్డాయి

అనేక ఇతర అసురక్షిత ఇంప్లాంట్‌లను కలిగి ఉన్న అదనపు రాజీపడిన ముగింపు పాయింట్‌లు కూడా గుర్తించబడ్డాయి. ముఖ్యంగా, కనుగొనబడిన ఇంప్లాంట్‌లలో ఒకటి ExchangeLeech వెబ్ షెల్, ఇది System.Web.ServiceAuthentication.dll అనే ఫైల్ వలె మారువేషంలో ఉంది, సాధారణంగా చట్టబద్ధమైన IIS ఫైల్‌లతో అనుబంధించబడిన నామకరణ సంప్రదాయాలను అనుసరించింది.

ExchangeLeech ప్రాథమిక ప్రమాణీకరణను ఉపయోగించి రాజీపడిన ఎక్స్ఛేంజ్ సర్వర్‌లలోకి లాగిన్ చేసే వ్యక్తుల యొక్క వినియోగదారు పేర్లు మరియు పాస్‌వర్డ్‌లను ప్రత్యేకంగా లక్ష్యంగా చేసుకుని, సున్నితమైన సమాచారాన్ని చురుకుగా సేకరించడం ద్వారా పనిచేస్తుంది. క్లియర్ టెక్స్ట్ HTTP ట్రాఫిక్‌ను పర్యవేక్షించడం మరియు వెబ్ ఫారమ్ డేటా లేదా HTTP హెడర్‌ల నుండి ఆధారాలను క్యాప్చర్ చేయడం వంటి వెబ్ షెల్ సామర్థ్యం ద్వారా ఇది సాధించబడుతుంది.

రాజీపడిన సర్వర్‌లను మరింతగా ఉపయోగించుకోవడానికి, దాడి చేసేవారు కుకీ పారామితుల ద్వారా సేకరించిన క్రెడెన్షియల్ లాగ్‌లను ప్రసారం చేయమని వెబ్ షెల్‌కు సూచించవచ్చు. దీనివల్ల అనుమానం రాకుండా వారు స్వాధీనం చేసుకున్న ఆధారాలను రహస్యంగా వెలికితీయవచ్చు.

PowerExchange దాడులు APT34 హ్యాకర్ గ్రూప్‌కు ఆపాదించబడ్డాయి

PowerExchange దాడులు APT34 లేదా Oilrig అని పిలవబడే ఇరాన్ రాష్ట్ర-ప్రాయోజిత హ్యాకింగ్ గ్రూప్‌కు ఆపాదించబడ్డాయి. కువైట్ ప్రభుత్వ సంస్థల సర్వర్‌లలో బ్యాక్‌డోర్‌లను ఏర్పాటు చేయడానికి APT34 ద్వారా గతంలో ఉపయోగించిన PowerExchange మాల్వేర్ మరియు TriFive మాల్వేర్ మధ్య అద్భుతమైన సారూప్యతలను గుర్తించడం ద్వారా పరిశోధకులు ఈ కనెక్షన్‌ని అందించారు.

PowerExchange మరియు TriFive రెండూ గుర్తించదగిన పోలికలను ప్రదర్శిస్తాయి. అవి రెండూ పవర్‌షెల్‌పై ఆధారపడి ఉంటాయి, షెడ్యూల్ చేయబడిన టాస్క్‌ల ద్వారా యాక్టివేట్ చేయబడతాయి మరియు C2 ఛానెల్‌గా EWS APIని ఉపయోగించి సంస్థ యొక్క ఎక్స్ఛేంజ్ సర్వర్‌ను ఉపయోగించుకుంటాయి. ఈ బ్యాక్‌డోర్‌ల కోడ్ స్పష్టంగా భిన్నంగా ఉన్నప్పటికీ, పరిశోధకులు PowerExchange TriFive మాల్వేర్ యొక్క అభివృద్ధి చెందిన మరియు మెరుగైన పునరావృత్తిని సూచిస్తుందని ఊహిస్తున్నారు.

ఇంకా, APT34 వారి దాడి కార్యకలాపాల యొక్క ప్రారంభ సంక్రమణ వెక్టర్‌గా ఫిషింగ్ ఇమెయిల్‌లను స్థిరంగా ఉపయోగిస్తుందని పేర్కొనడం విలువ. అసురక్షిత కంటెంట్‌తో పరస్పర చర్య చేసేలా బాధితులను ప్రలోభపెట్టడం ద్వారా లేదా ఈ ఇమెయిల్‌లలోని పాడైన లింక్‌లపై క్లిక్ చేయడం ద్వారా, APT34 వారి బెదిరింపు కార్యకలాపాలతో కొనసాగడానికి వీలు కల్పించడం ద్వారా లక్ష్య వాతావరణంలో పట్టు సాధిస్తుంది. APT34 గతంలో యునైటెడ్ అరబ్ ఎమిరేట్స్‌లోని ఇతర సంస్థలను ఉల్లంఘించిందనే వాస్తవం ఈ దాడులకు వాటిని లింక్ చేసే సాక్ష్యాలను జోడిస్తుంది.

ట్రెండింగ్‌లో ఉంది

అత్యంత వీక్షించబడిన

లోడ్...