Threat Database Malware Шкідливе програмне забезпечення PowerExchange

Шкідливе програмне забезпечення PowerExchange

Нещодавно виявлена шкідлива програма під назвою PowerExchange з’явилася під час операцій атаки. Цей новий бекдор використовує PowerShell як основну мову сценаріїв. Зловмисне програмне забезпечення використовувалося для встановлення бекдорів на локальних серверах Microsoft Exchange. Інциденти атаки, пов’язані з загрозою, можуть бути пов’язані з іранськими державними хакерами APT34 (Advanced Persistent Threat).

Вектор атаки, використаний загрозливими суб’єктами, передбачав проникнення на цільовий поштовий сервер через фішинговий електронний лист. Електронний лист містив стиснутий архів із зламаним виконуваним файлом. Після виконання PowerExchange було розгорнуто, що дозволило хакерам отримати несанкціонований доступ і контролювати зламані сервери Microsoft Exchange. Крім того, зловмисники також використовують веб-оболонку, відстежувану як ExchangeLeech, яку вперше виявили у 2020 році, що дозволяє їм викрадати конфіденційні дані, головним чином зосереджуючись на крадіжці облікових даних користувача, що зберігаються на скомпрометованих серверах Microsoft Exchange.

Використання зловмисного програмного забезпечення PowerExchange у поєднанні з веб-оболонкою ExchangeLeech демонструє витончену тактику, яку використовує APT34 у своїй загрозливій діяльності. Дослідницька група виявила бекдор PowerExchange у скомпрометованих системах урядової організації в Об’єднаних Арабських Еміратах.

Зловмисне програмне забезпечення PowerExchange використовує сервер Exchange жертви

Зловмисне програмне забезпечення PowerExchange встановлює зв’язок із сервером командування та керування (C2) операції атаки. Він використовує електронні листи, надіслані через API веб-служб Exchange (EWS), використовуючи текстові вкладення в цих електронних листах для надсилання зібраної інформації та отримання команд у кодуванні base64. Ці електронні листи намагаються уникнути додаткової уваги жертви, містять тему «Оновіть Microsoft Edge».

Використання сервера Exchange жертви як каналу C2 є навмисною стратегією, яку використовують суб’єкти загрози. Цей підхід дозволяє бекдору змішуватися з легальним трафіком, що надзвичайно ускладнює виявлення та пом’якшення загрози мережевим механізмам виявлення та усунення. Камуфлюючи свою діяльність в інфраструктурі організації, суб’єкти загрози можуть ефективно уникати виявлення та підтримувати таємну присутність.

Бекдор PowerExchange надає операторам широкий контроль над скомпрометованими серверами. Це дозволяє їм виконувати різні команди, включаючи доставку додаткових загрозливих корисних навантажень на скомпрометовані сервери та вилучення зібраних файлів. Ця універсальність дає можливість суб’єктам загрози розширити свій охоплення та здійснювати подальшу шкідливу діяльність у скомпрометованому середовищі.

Додаткові загрозливі імплантати розгортаються як частина бекдор-атак PowerExchange

Також було виявлено додаткові скомпрометовані кінцеві точки, які містили різні інші небезпечні імплантати. Примітно, що одним із виявлених імплантатів була веб-оболонка ExchangeLeech, яка була замаскована під файл із назвою System.Web.ServiceAuthentication.dll, прийнявши правила іменування, які зазвичай пов’язані з легітимними файлами IIS.

ExchangeLeech працює шляхом активного збору конфіденційної інформації, особливо націлюючись на імена користувачів і паролі осіб, які входять на скомпрометовані сервери Exchange за допомогою базової автентифікації. Це досягається завдяки здатності веб-оболонки відстежувати чистий текст HTTP-трафіку та отримувати облікові дані з даних веб-форми або заголовків HTTP.

Для подальшого використання скомпрометованих серверів зловмисники можуть вказати веб-оболонці передавати зібрані журнали облікових даних через параметри cookie. Це дозволяє їм таємно викрадати захоплені облікові дані, не викликаючи підозр.

Атаки на PowerExchange пов’язані з хакерською групою APT34

Атаки на PowerExchange приписують спонсорованій державою Іраном хакерській групі, відомій як APT34 або Oilrig. Дослідники встановили цей зв’язок, виявивши разючу подібність між шкідливим програмним забезпеченням PowerExchange і шкідливим програмним забезпеченням TriFive, яке раніше використовувалося APT34 для встановлення бекдорів на серверах урядових організацій Кувейту.

І PowerExchange, і TriFive демонструють помітну схожість. Обидва вони базуються на PowerShell, активуються через заплановані завдання та використовують сервер Exchange організації за допомогою EWS API як канал C2. Незважаючи на те, що код цих бекдорів явно відрізняється, дослідники припускають, що PowerExchange представляє розширену та вдосконалену ітерацію шкідливого програмного забезпечення TriFive.

Крім того, варто зазначити, що APT34 постійно використовує фішингові електронні листи як початковий вектор зараження своїх операцій атаки. Спонукаючи жертв взаємодіяти з небезпечним вмістом або натискаючи пошкоджені посилання в цих електронних листах, APT34 закріплюється в цільовому середовищі, дозволяючи їм продовжувати свою загрозливу діяльність. Той факт, що APT34 раніше зламав інші організації в Об’єднаних Арабських Еміратах, додає доказів, які пов’язують їх із цими атаками.

В тренді

Найбільше переглянуті

Завантаження...