PowerExchange Malware
Ang isang bagong natukoy na malware na pinangalanang PowerExchange ay lumitaw sa mga operasyon ng pag-atake. Ginagamit ng nobelang backdoor na ito ang PowerShell bilang pangunahing wika ng scripting nito. Ginamit ang malware upang magtatag ng mga backdoor sa nasasakupan ng mga server ng Microsoft Exchange. Ang mga insidente ng pag-atake na kinasasangkutan ng banta ay maaaring maiugnay sa APT34 (Advanced Persistent Threat) na mga hacker ng estado ng Iran.
Ang vector ng pag-atake na ginagamit ng mga aktor ng pagbabanta ay kasangkot sa paglusot sa naka-target na mail server sa pamamagitan ng isang phishing na email. Ang email ay naglalaman ng isang naka-compress na archive na naglalaman ng isang nakompromisong maipapatupad. Sa sandaling naisakatuparan, ang PowerExchange ay na-deploy, na nagbibigay-daan sa mga hacker na makakuha ng hindi awtorisadong pag-access at kontrol sa mga nakompromisong server ng Microsoft Exchange. Susunod, ang mga banta ng aktor ay gumagamit din ng isang Web shell na sinusubaybayan bilang ExchangeLeech, na unang natuklasan noong 2020, na nagbibigay-daan sa kanila na i-exfiltrate ang sensitibong data, lalo na nakatuon sa pagnanakaw ng mga kredensyal ng user na nakaimbak sa loob ng mga nakompromisong server ng Microsoft Exchange.
Ang paggamit ng PowerExchange malware, kasabay ng ExchangeLeech Web shell, ay nagpapakita ng mga sopistikadong taktika na ginagamit ng APT34 sa kanilang mga aktibidad na nagbabanta. Ang PowerExchange backdoor ay natuklasan ng isang research team sa mga nakompromisong sistema ng isang organisasyon ng pamahalaan na nakabase sa United Arab Emirates.
Talaan ng mga Nilalaman
Sinasamantala ng PowerExchange Malware ang Exchange Server ng Biktima
Ang PowerExchange malware ay nagtatatag ng komunikasyon sa Command-and-Control (C2) server ng operasyon ng pag-atake. Ginagamit nito ang mga email na ipinadala sa pamamagitan ng Exchange Web Services (EWS) API, gamit ang mga text attachment sa loob ng mga email na ito upang magpadala ng nakolektang impormasyon at makatanggap ng mga command na naka-encode ng base64. Sinusubukan ng mga email na ito na maiwasan ang pag-akit ng karagdagang pagsisiyasat ng biktima sa pamamagitan ng pagdadala ng linya ng paksa na 'I-update ang Microsoft Edge.'
Ang paggamit ng Exchange server ng biktima bilang C2 channel ay isang sadyang diskarte na ginagamit ng mga aktor ng pagbabanta. Binibigyang-daan ng diskarteng ito ang backdoor na makihalo sa lehitimong trapiko, na nagpapahirap sa mga mekanismo ng pagtuklas at remediation na nakabatay sa network upang matukoy at mapagaan ang banta. Sa pamamagitan ng pagbabalatkayo sa mga aktibidad nito sa loob ng imprastraktura ng organisasyon, epektibong maiiwasan ng mga banta ng aktor ang pagtuklas at mapanatili ang isang lihim na presensya.
Ang PowerExchange backdoor ay nagbibigay sa mga operator ng malawak na kontrol sa mga nakompromisong server. Nagbibigay-daan ito sa kanila na magsagawa ng iba't ibang mga utos, kabilang ang paghahatid ng mga karagdagang nagbabantang kargamento sa mga nakompromisong server at ang pag-exfiltrate ng mga na-harvest na file. Ang versatility na ito ay nagbibigay kapangyarihan sa mga banta ng aktor na palawakin ang kanilang pag-abot at magsagawa ng higit pang mga nakakapinsalang aktibidad sa loob ng nakompromisong kapaligiran.
Ang mga Karagdagang Nagbabantang Implant ay Inilalagay bilang Bahagi ng PowerExchange Backdoor Attacks
Natukoy din ang mga karagdagang nakompromisong endpoint na naglalaman ng iba't ibang hindi ligtas na implant. Kapansin-pansin, ang isa sa mga natuklasang implant ay ang ExchangeLeech Web shell, na itinago bilang isang file na pinangalanang System.Web.ServiceAuthentication.dll, na gumagamit ng mga kombensiyon sa pagbibigay ng pangalan na karaniwang nauugnay sa mga lehitimong IIS file.
Ang ExchangeLeech ay nagpapatakbo sa pamamagitan ng aktibong pangangalap ng sensitibong impormasyon, partikular na nagta-target sa mga username at password ng mga indibidwal na nag-log in sa mga nakompromisong Exchange server gamit ang pangunahing pagpapatunay. Nakamit ito sa pamamagitan ng kakayahan ng Web shell na subaybayan ang malinaw na trapiko ng HTTP ng teksto at kumuha ng mga kredensyal mula sa data ng Web form o mga header ng HTTP.
Upang higit pang mapagsamantalahan ang mga nakompromisong server, maaaring turuan ng mga umaatake ang Web shell na ipadala ang mga nakolektang log ng kredensyal sa pamamagitan ng mga parameter ng cookie. Nagbibigay-daan ito sa kanila na palihim na i-exfiltrate ang mga nakuhang kredensyal nang hindi pumupukaw ng hinala.
Ang PowerExchange Attacks ay Nauugnay sa APT34 Hacker Group
Ang mga pag-atake ng PowerExchange ay naiugnay sa pangkat ng pag-hack na inisponsor ng estado ng Iran na kilala bilang APT34 o Oilrig. Ginawa ng mga mananaliksik ang koneksyon na ito sa pamamagitan ng pagtukoy ng mga kapansin-pansing pagkakatulad sa pagitan ng PowerExchange malware at ng TriFive malware na dating ginamit ng APT34 upang magtatag ng mga backdoor sa loob ng mga server ng mga organisasyon ng gobyerno ng Kuwait.
Parehong PowerExchange at TriFive ay nagpapakita ng mga kapansin-pansing pagkakahawig. Pareho silang nakabatay sa PowerShell, na-activate sa pamamagitan ng mga naka-iskedyul na gawain, at sinasamantala ang Exchange server ng organisasyon gamit ang EWS API bilang C2 channel. Bagama't malinaw na naiiba ang code ng mga backdoor na ito, inaakala ng mga mananaliksik na ang PowerExchange ay kumakatawan sa isang nagbago at pinahusay na pag-ulit ng TriFive malware.
Higit pa rito, nararapat na banggitin na ang APT34 ay patuloy na gumagamit ng mga phishing na email bilang isang paunang vector ng impeksyon ng kanilang mga operasyon sa pag-atake. Sa pamamagitan ng pag-engganyo sa mga biktima na makipag-ugnayan sa hindi ligtas na nilalaman o pag-click sa mga sirang link sa loob ng mga email na ito, nakakakuha ang APT34 ng isang foothold sa target na kapaligiran, na nagbibigay-daan sa kanila na magpatuloy sa kanilang mga aktibidad na nagbabanta. Ang katotohanan na ang APT34 ay dati nang lumabag sa iba pang mga entity sa United Arab Emirates ay nagdaragdag sa ebidensya na nag-uugnay sa kanila sa mga pag-atakeng ito.
