Phần mềm độc hại PowerExchange

Một phần mềm độc hại mới được xác định tên là PowerExchange đã xuất hiện trong các hoạt động tấn công. Cửa hậu mới lạ này sử dụng PowerShell làm ngôn ngữ kịch bản chính. Phần mềm độc hại đã được sử dụng để thiết lập các cửa hậu trên máy chủ Microsoft Exchange tại chỗ. Các sự cố tấn công liên quan đến mối đe dọa có thể được liên kết với các tin tặc nhà nước Iran APT34 (Advanced Persistent Threat).

Vectơ tấn công được sử dụng bởi các tác nhân đe dọa liên quan đến việc xâm nhập vào máy chủ thư được nhắm mục tiêu thông qua email lừa đảo. Email chứa một kho lưu trữ nén chứa tệp thực thi bị xâm phạm. Sau khi được thực thi, PowerExchange đã được triển khai, cho phép tin tặc có quyền truy cập và kiểm soát trái phép đối với các máy chủ Microsoft Exchange bị xâm nhập. Tiếp theo, những kẻ đe dọa cũng sử dụng Web shell được theo dõi là ExchangeLeech, lần đầu tiên được phát hiện vào năm 2020, cho phép chúng trích xuất dữ liệu nhạy cảm, chủ yếu tập trung vào việc đánh cắp thông tin đăng nhập của người dùng được lưu trữ trong các máy chủ Microsoft Exchange bị xâm nhập.

Việc sử dụng phần mềm độc hại PowerExchange, kết hợp với ExchangeLeech Web shell, thể hiện các chiến thuật tinh vi được APT34 sử dụng trong các hoạt động đe dọa của chúng. Cửa hậu PowerExchange được phát hiện bởi một nhóm nghiên cứu về các hệ thống bị xâm nhập của một tổ chức chính phủ có trụ sở tại Các Tiểu vương quốc Ả Rập Thống nhất.

Phần mềm độc hại PowerExchange khai thác máy chủ Exchange của nạn nhân

Phần mềm độc hại PowerExchange thiết lập giao tiếp với máy chủ Command-and-Control (C2) của hoạt động tấn công. Nó tận dụng các email được gửi qua API Exchange Web Services (EWS), sử dụng các tệp đính kèm văn bản trong các email này để gửi thông tin đã thu thập và nhận các lệnh được mã hóa base64. Những email này cố gắng tránh thu hút thêm sự giám sát của nạn nhân bằng cách mang dòng tiêu đề 'Cập nhật Microsoft Edge.'

Việc sử dụng máy chủ Exchange của nạn nhân làm kênh C2 là một chiến lược có chủ ý được các tác nhân đe dọa sử dụng. Cách tiếp cận này cho phép cửa hậu trộn lẫn với lưu lượng truy cập hợp pháp, gây khó khăn cực kỳ lớn cho các cơ chế phát hiện và khắc phục dựa trên mạng trong việc xác định và giảm thiểu mối đe dọa. Bằng cách ngụy trang các hoạt động của mình trong cơ sở hạ tầng của tổ chức, các tác nhân đe dọa có thể tránh bị phát hiện một cách hiệu quả và duy trì sự hiện diện bí mật.

Cửa hậu PowerExchange cung cấp cho người vận hành khả năng kiểm soát rộng rãi đối với các máy chủ bị xâm nhập. Nó cho phép họ thực thi các lệnh khác nhau, bao gồm cả việc phân phối các tải trọng đe dọa bổ sung lên các máy chủ bị xâm nhập và đánh cắp các tệp đã thu hoạch. Tính linh hoạt này trao quyền cho các tác nhân đe dọa mở rộng phạm vi tiếp cận và thực hiện các hoạt động có hại hơn nữa trong môi trường bị xâm phạm.

Các bộ cấy đe dọa bổ sung được triển khai như một phần của các cuộc tấn công cửa sau PowerExchange

Các điểm cuối bị tổn hại bổ sung chứa nhiều bộ phận cấy ghép không an toàn khác cũng đã được xác định. Đáng chú ý, một trong những phần mềm cấy ghép được phát hiện là ExchangeLeech Web shell, được ngụy trang thành một tệp có tên System.Web.ServiceAuthentication.dll, áp dụng các quy ước đặt tên thường được liên kết với các tệp IIS hợp pháp.

ExchangeLeech hoạt động bằng cách tích cực thu thập thông tin nhạy cảm, đặc biệt nhắm mục tiêu tên người dùng và mật khẩu của những cá nhân đăng nhập vào máy chủ Exchange bị xâm nhập bằng cách sử dụng xác thực cơ bản. Điều này đạt được thông qua khả năng giám sát lưu lượng HTTP văn bản rõ ràng của Web shell và nắm bắt thông tin đăng nhập từ dữ liệu biểu mẫu Web hoặc tiêu đề HTTP.

Để tiếp tục khai thác các máy chủ bị xâm nhập, kẻ tấn công có thể hướng dẫn vỏ Web truyền nhật ký thông tin xác thực đã thu thập thông qua các tham số cookie. Điều này cho phép họ bí mật lọc các thông tin đăng nhập đã thu thập được mà không gây nghi ngờ.

Các cuộc tấn công PowerExchange được quy cho Nhóm tin tặc APT34

Các cuộc tấn công PowerExchange được cho là do nhóm hack do nhà nước Iran tài trợ có tên là APT34 hoặc Oilrig. Các nhà nghiên cứu đã tạo ra mối liên hệ này bằng cách xác định những điểm tương đồng nổi bật giữa phần mềm độc hại PowerExchange và phần mềm độc hại TriFive trước đây được APT34 sử dụng để thiết lập các cửa hậu bên trong máy chủ của các tổ chức chính phủ Kuwait.

Cả PowerExchange và TriFive đều có những điểm tương đồng đáng chú ý. Cả hai đều dựa trên PowerShell, được kích hoạt thông qua các tác vụ đã lên lịch và khai thác máy chủ Exchange của tổ chức bằng cách sử dụng API EWS làm kênh C2. Mặc dù mã của các cửa hậu này rõ ràng là khác nhau, nhưng các nhà nghiên cứu suy đoán rằng PowerExchange đại diện cho một phiên bản cải tiến và phát triển của phần mềm độc hại TriFive.

Hơn nữa, điều đáng nói là APT34 luôn sử dụng các email lừa đảo như một công cụ lây nhiễm ban đầu cho các hoạt động tấn công của chúng. Bằng cách lôi kéo nạn nhân tương tác với nội dung không an toàn hoặc nhấp vào các liên kết bị hỏng trong các email này, APT34 có được chỗ đứng trong môi trường được nhắm mục tiêu, cho phép họ tiến hành các hoạt động đe dọa của mình. Thực tế là APT34 trước đó đã vi phạm các thực thể khác ở Các Tiểu vương quốc Ả Rập Thống nhất làm tăng thêm bằng chứng liên kết chúng với các cuộc tấn công này.