PowerExchange Kötü Amaçlı Yazılımı
Saldırı operasyonlarında PowerExchange adlı yeni tanımlanan bir kötü amaçlı yazılım ortaya çıktı. Bu yeni arka kapı, birincil betik dili olarak PowerShell'i kullanıyor. Kötü amaçlı yazılım, şirket içi Microsoft Exchange sunucularında arka kapılar oluşturmak için kullanıldı. Tehdit içeren saldırı olayları, APT34 (Gelişmiş Kalıcı Tehdit) İran devlet bilgisayar korsanlarıyla bağlantılı olabilir.
Tehdit aktörleri tarafından kullanılan saldırı vektörü, bir kimlik avı e-postası yoluyla hedeflenen posta sunucusuna sızmayı içeriyordu. E-posta, güvenliği ihlal edilmiş bir yürütülebilir dosyayı barındıran sıkıştırılmış bir arşiv içeriyordu. Çalıştırıldıktan sonra, PowerExchange dağıtıldı ve bilgisayar korsanlarının güvenliği ihlal edilmiş Microsoft Exchange sunucuları üzerinde yetkisiz erişim ve kontrol elde etmelerini sağladı. Daha sonra, tehdit aktörleri, ilk olarak 2020'de ortaya çıkarılan ExchangeLeech olarak izlenen bir Web kabuğunu da kullanıyor ve bu da, öncelikli olarak güvenliği ihlal edilmiş Microsoft Exchange sunucularında depolanan kullanıcı kimlik bilgilerinin çalınmasına odaklanarak hassas verileri sızdırmalarına olanak tanıyor.
PowerExchange kötü amaçlı yazılımının ExchangeLeech Web kabuğuyla birlikte kullanımı, APT34 tarafından tehdit edici faaliyetlerinde kullanılan karmaşık taktikleri gösterir. PowerExchange arka kapısı, Birleşik Arap Emirlikleri merkezli bir devlet kuruluşunun güvenliği ihlal edilmiş sistemleri üzerinde bir araştırma ekibi tarafından keşfedildi.
İçindekiler
PowerExchange Kötü Amaçlı Yazılımı, Kurbanın Exchange Sunucusunu İstismar Eder
PowerExchange kötü amaçlı yazılımı, saldırı operasyonunun Komuta ve Kontrol (C2) sunucusuyla iletişim kurar. Toplanan bilgileri göndermek ve base64 kodlu komutları almak için bu e-postalardaki metin eklerini kullanarak Exchange Web Hizmetleri (EWS) API'si aracılığıyla gönderilen e-postalardan yararlanır. Bu e-postalar, 'Microsoft Edge'i Güncelleyin' konu satırını taşıyarak kurbanın daha fazla inceleme yapmasını engellemeye çalışır.
Kurbanın Exchange sunucusunun C2 kanalı olarak kullanılması, tehdit aktörleri tarafından kasıtlı olarak uygulanan bir stratejidir. Bu yaklaşım, arka kapının meşru trafiğe karışmasına izin vererek, ağ tabanlı algılama ve düzeltme mekanizmalarının tehdidi tanımlamasını ve azaltmasını son derece zorlaştırır. Tehdit aktörleri, faaliyetlerini kuruluşun altyapısı içinde kamufle ederek, tespit edilmekten etkili bir şekilde kaçınabilir ve gizli bir varlık sürdürebilir.
PowerExchange arka kapısı, operatörlere güvenliği ihlal edilmiş sunucular üzerinde kapsamlı kontrol sağlar. Güvenliği ihlal edilmiş sunuculara ek tehdit edici yüklerin teslimi ve toplanan dosyaların sızması da dahil olmak üzere çeşitli komutları yürütmelerini sağlar. Bu çok yönlülük, tehdit aktörlerine erişim alanlarını genişletme ve güvenliği ihlal edilmiş ortamda daha fazla zararlı faaliyetler gerçekleştirme gücü verir.
PowerExchange Arka Kapı Saldırılarının Bir Parçası Olarak Ek Tehdit İmplantları Yerleştirildi
Diğer çeşitli güvenli olmayan implantları içeren tehlikeye atılmış ek uç noktalar da tanımlanmıştır. Özellikle keşfedilen implantlardan biri, tipik olarak yasal IIS dosyalarıyla ilişkilendirilen adlandırma kurallarını benimseyen, System.Web.ServiceAuthentication.dll adlı bir dosya olarak gizlenmiş olan ExchangeLeech Web kabuğuydu.
ExchangeLeech, özellikle temel kimlik doğrulama kullanarak güvenliği ihlal edilmiş Exchange sunucularında oturum açan kişilerin kullanıcı adlarını ve parolalarını hedefleyerek hassas bilgileri aktif olarak toplayarak çalışır. Bu, Web kabuğunun açık metin HTTP trafiğini izleme ve Web formu verilerinden veya HTTP başlıklarından kimlik bilgilerini yakalama yeteneği aracılığıyla elde edilir.
Saldırganlar, güvenliği ihlal edilmiş sunuculardan daha fazla yararlanmak için Web kabuğuna, toplanan kimlik bilgisi günlüklerini tanımlama bilgisi parametreleri aracılığıyla iletmesi talimatını verebilir. Bu, ele geçirilen kimlik bilgilerini şüphe uyandırmadan gizlice dışarı sızdırmalarına olanak tanır.
PowerExchange Saldırıları, APT34 Hacker Grubuna Atfedilir
PowerExchange saldırıları, APT34 veya Oilrig olarak bilinen İran devlet destekli bilgisayar korsanlığı grubuna atfedildi. Araştırmacılar bu bağlantıyı, PowerExchange kötü amaçlı yazılımı ile daha önce APT34 tarafından Kuveyt devlet kurumlarının sunucularında arka kapılar oluşturmak için kullanılan kötü amaçlı TriFive yazılımı arasındaki çarpıcı benzerlikleri belirleyerek kurdular.
Hem PowerExchange hem de TriFive dikkate değer benzerlikler sergiliyor. Her ikisi de PowerShell tabanlıdır, zamanlanmış görevler aracılığıyla etkinleştirilir ve EWS API'sini C2 kanalı olarak kullanarak kuruluşun Exchange sunucusundan yararlanır. Bu arka kapıların kodu açıkça farklı olsa da araştırmacılar, PowerExchange'in TriFive kötü amaçlı yazılımının geliştirilmiş ve geliştirilmiş bir yinelemesini temsil ettiğini düşünüyor.
Ayrıca, APT34'ün saldırı operasyonlarının ilk bulaşma vektörü olarak sürekli olarak kimlik avı e-postalarını kullandığını belirtmekte fayda var. APT34, kurbanları güvenli olmayan içerikle etkileşime girmeye ikna ederek veya bu e-postalardaki bozuk bağlantılara tıklayarak, hedeflenen ortamda bir yer edinir ve onların tehdit edici faaliyetlerine devam etmelerini sağlar. APT34'ün daha önce Birleşik Arap Emirlikleri'ndeki diğer varlıkları ihlal etmiş olması, onları bu saldırılarla ilişkilendiren kanıtlara katkıda bulunuyor.
