มัลแวร์ PowerExchange
มัลแวร์ที่เพิ่งระบุชื่อ PowerExchange ได้ปรากฏขึ้นในการโจมตี แบ็คดอร์นวนิยายเรื่องนี้ใช้ PowerShell เป็นภาษาสคริปต์หลัก มัลแวร์ถูกใช้เพื่อสร้างแบ็คดอร์บนเซิร์ฟเวอร์ Microsoft Exchange ภายในองค์กร เหตุการณ์การโจมตีที่เกี่ยวข้องกับภัยคุกคามอาจเชื่อมโยงกับแฮ็กเกอร์รัฐของอิหร่าน APT34 (ภัยคุกคามถาวรขั้นสูง)
เวกเตอร์การโจมตีที่ใช้โดยผู้คุกคามที่เกี่ยวข้องกับการแทรกซึมเซิร์ฟเวอร์อีเมลเป้าหมายผ่านอีเมลฟิชชิ่ง อีเมลประกอบด้วยไฟล์เก็บถาวรที่มีการบีบอัดซึ่งมีไฟล์ปฏิบัติการที่ถูกบุกรุก เมื่อดำเนินการแล้ว PowerExchange จะถูกปรับใช้ ทำให้แฮ็กเกอร์สามารถเข้าถึงและควบคุมเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุกโดยไม่ได้รับอนุญาต จากนั้น ผู้ก่อภัยคุกคามยังใช้ Web shell ที่ติดตามในชื่อ ExchangeLeech ซึ่งถูกค้นพบครั้งแรกในปี 2020 ทำให้สามารถกรองข้อมูลที่ละเอียดอ่อน โดยมุ่งเน้นไปที่การขโมยข้อมูลรับรองผู้ใช้ที่จัดเก็บไว้ในเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุกเป็นหลัก
การใช้มัลแวร์ PowerExchange ร่วมกับ ExchangeLeech Web shell แสดงให้เห็นถึงกลวิธีที่ซับซ้อนที่ APT34 ใช้ในการคุกคาม แบ็คดอร์ PowerExchange ถูกค้นพบโดยทีมวิจัยเกี่ยวกับระบบที่ถูกบุกรุกขององค์กรรัฐบาลในสหรัฐอาหรับเอมิเรตส์
สารบัญ
มัลแวร์ PowerExchange ใช้ประโยชน์จากเซิร์ฟเวอร์ Exchange ของเหยื่อ
มัลแวร์ PowerExchange สร้างการสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) ของการดำเนินการโจมตี ใช้ประโยชน์จากอีเมลที่ส่งผ่าน Exchange Web Services (EWS) API โดยใช้ข้อความแนบภายในอีเมลเหล่านี้เพื่อส่งข้อมูลที่รวบรวมและรับคำสั่งที่เข้ารหัส base64 อีเมลเหล่านี้พยายามหลีกเลี่ยงการดึงดูดให้เหยื่อตรวจสอบเพิ่มเติมโดยระบุหัวเรื่องว่า 'อัปเดต Microsoft Edge'
การใช้เซิร์ฟเวอร์ Exchange ของเหยื่อเป็นช่อง C2 เป็นกลยุทธ์ที่จงใจใช้โดยผู้คุกคาม วิธีการนี้ช่วยให้แบ็คดอร์สามารถผสมผสานกับทราฟฟิกที่ถูกกฎหมายได้ ทำให้กลไกการตรวจจับและการแก้ไขบนเครือข่ายสามารถระบุและบรรเทาภัยคุกคามได้ยากอย่างยิ่ง โดยการอำพรางกิจกรรมภายในโครงสร้างพื้นฐานขององค์กร ผู้คุกคามสามารถหลีกเลี่ยงการตรวจจับและรักษาสถานะที่เป็นความลับได้อย่างมีประสิทธิภาพ
แบ็คดอร์ PowerExchange ช่วยให้ผู้ปฏิบัติงานสามารถควบคุมเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างกว้างขวาง ซึ่งช่วยให้พวกเขาสามารถดำเนินการคำสั่งต่างๆ รวมถึงการส่ง payloads ที่เป็นอันตรายเพิ่มเติมไปยังเซิร์ฟเวอร์ที่ถูกบุกรุกและการกรองไฟล์ที่เก็บเกี่ยว ความเก่งกาจนี้ช่วยให้ผู้คุกคามสามารถขยายการเข้าถึงและดำเนินกิจกรรมที่เป็นอันตรายเพิ่มเติมภายในสภาพแวดล้อมที่ถูกบุกรุก
การปลูกถ่ายที่เป็นภัยคุกคามเพิ่มเติมถูกนำมาใช้เป็นส่วนหนึ่งของการโจมตีลับๆ ของ PowerExchange
นอกจากนี้ ยังมีการระบุจุดสิ้นสุดที่ถูกบุกรุกเพิ่มเติมซึ่งมีการปลูกถ่ายที่ไม่ปลอดภัยอื่นๆ อีกหลายแห่ง โดยเฉพาะอย่างยิ่ง หนึ่งในรากฟันเทียมที่ค้นพบคือ ExchangeLeech Web shell ซึ่งปลอมเป็นไฟล์ชื่อ System.Web.ServiceAuthentication.dll โดยใช้หลักการตั้งชื่อที่เกี่ยวข้องกับไฟล์ IIS ที่ถูกต้องตามกฎหมาย
ExchangeLeech ดำเนินการโดยการรวบรวมข้อมูลที่ละเอียดอ่อน โดยกำหนดเป้าหมายชื่อผู้ใช้และรหัสผ่านของบุคคลที่เข้าสู่ระบบเซิร์ฟเวอร์ Exchange ที่ถูกบุกรุกโดยใช้การรับรองความถูกต้องขั้นพื้นฐาน ซึ่งทำได้โดยความสามารถของ Web shell ในการมอนิเตอร์ทราฟฟิก HTTP แบบข้อความที่ชัดเจนและบันทึกข้อมูลรับรองจากข้อมูลแบบฟอร์มเว็บหรือส่วนหัว HTTP
ในการใช้ประโยชน์จากเซิร์ฟเวอร์ที่ถูกบุกรุก ผู้โจมตีสามารถสั่งให้ Web shell ส่งบันทึกประจำตัวที่รวบรวมได้ผ่านพารามิเตอร์คุกกี้ สิ่งนี้ช่วยให้พวกเขาสามารถแอบกรองข้อมูลรับรองที่จับได้โดยไม่ก่อให้เกิดความสงสัย
การโจมตีของ PowerExchange เกิดจากกลุ่มแฮ็กเกอร์ APT34
การโจมตี PowerExchange เกิดจากกลุ่มแฮ็คที่ได้รับการสนับสนุนจากรัฐของอิหร่านที่รู้จักกันในชื่อ APT34 หรือ Oilrig นักวิจัยทำการเชื่อมต่อนี้โดยการระบุความคล้ายคลึงกันที่โดดเด่นระหว่างมัลแวร์ PowerExchange และมัลแวร์ TriFive ที่ก่อนหน้านี้ใช้โดย APT34 เพื่อสร้างแบ็คดอร์ภายในเซิร์ฟเวอร์ขององค์กรรัฐบาลคูเวต
ทั้ง PowerExchange และ TriFive มีความคล้ายคลึงกันอย่างมาก ทั้งคู่ใช้ PowerShell เปิดใช้งานผ่านงานที่กำหนดเวลาไว้ และใช้ประโยชน์จากเซิร์ฟเวอร์ Exchange ขององค์กรโดยใช้ EWS API เป็นช่องทาง C2 แม้ว่ารหัสของแบ็คดอร์เหล่านี้จะแตกต่างกันอย่างชัดเจน แต่นักวิจัยคาดการณ์ว่า PowerExchange เป็นตัวแทนของมัลแวร์ TriFive ที่พัฒนาและปรับปรุง
นอกจากนี้ เป็นมูลค่าการกล่าวขวัญว่า APT34 ใช้อีเมลฟิชชิ่งอย่างต่อเนื่องเป็นพาหะเริ่มต้นของการโจมตี ด้วยการหลอกล่อเหยื่อให้โต้ตอบกับเนื้อหาที่ไม่ปลอดภัยหรือคลิกลิงก์ที่เสียหายภายในอีเมลเหล่านี้ APT34 จึงตั้งหลักในสภาพแวดล้อมที่เป็นเป้าหมายได้ ทำให้พวกเขาดำเนินกิจกรรมคุกคามต่อไปได้ ความจริงที่ว่า APT34 ได้ละเมิดหน่วยงานอื่น ๆ ในสหรัฐอาหรับเอมิเรตส์ก่อนหน้านี้ได้เพิ่มหลักฐานที่เชื่อมโยงพวกเขากับการโจมตีเหล่านี้
