Threat Database Malware PowerExchange 恶意软件

PowerExchange 恶意软件

一种新发现的名为 PowerExchange 的恶意软件出现在攻击行动中。这个新颖的后门使用 PowerShell 作为其主要脚本语言。该恶意软件用于在本地 Microsoft Exchange 服务器上建立后门。涉及威胁的攻击事件可能与APT34 (高级持续威胁)伊朗国家黑客有关。

威胁行为者使用的攻击媒介涉及通过网络钓鱼电子邮件渗透目标邮件服务器。该电子邮件包含一个压缩存档,其中包含一个受感染的可执行文件。一旦执行,PowerExchange 就会被部署,使黑客能够获得未经授权的访问和控制受感染的 Microsoft Exchange 服务器。接下来,威胁行为者还利用一个名为 ExchangeLeech 的 Web 外壳,该外壳于 2020 年首次被发现,使他们能够窃取敏感数据,主要侧重于窃取存储在受感染的 Microsoft Exchange 服务器中的用户凭据。

PowerExchange 恶意软件与 ExchangeLeech Web shell 的结合使用展示了 APT34 在其威胁活动中采用的复杂策略。 PowerExchange 后门是由位于阿拉伯联合酋长国的政府组织的受损系统的研究团队发现的。

PowerExchange 恶意软件利用受害者的 Exchange 服务器

PowerExchange 恶意软件与攻击操作的命令和控制 (C2) 服务器建立通信。它利用通过 Exchange Web 服务 (EWS) API 发送的电子邮件,利用这些电子邮件中的文本附件发送收集的信息并接收 base64 编码的命令。这些电子邮件带有主题行“更新 Microsoft Edge”,试图避免引起受害者的额外审查。

使用受害者的 Exchange 服务器作为 C2 通道是威胁行为者故意采用的策略。这种方法允许后门与合法流量混合,使基于网络的检测和补救机制极难识别和减轻威胁。通过在组织的基础设施内伪装其活动,威胁行为者可以有效地避免检测并保持隐蔽存在。

PowerExchange 后门为操作员提供了对受感染服务器的广泛控制。它使他们能够执行各种命令,包括将额外的威胁有效负载传送到受感染的服务器上以及泄露所收集的文件。这种多功能性使威胁行为者能够扩大其影响范围并在受感染的环境中开展进一步的有害活动。

作为 PowerExchange 后门攻击的一部分部署了额外的威胁性植入物

还发现了包含各种其他不安全植入物的其他受损端点。值得注意的是,其中一个被发现的植入物是 ExchangeLeech Web shell,它伪装成一个名为 System.Web.ServiceAuthentication.dll 的文件,采用通常与合法 IIS 文件关联的命名约定。

ExchangeLeech 通过主动收集敏感信息来运作,特别是针对使用基本身份验证登录到受感染 Exchange 服务器的个人的用户名和密码。这是通过 Web shell 监视明文 HTTP 流量并从 Web 表单数据或 HTTP 标头捕获凭据的能力实现的。

为了进一步利用受感染的服务器,攻击者可以指示 Web shell 通过 cookie 参数传输收集的凭据日志。这使他们能够在不引起怀疑的情况下秘密泄露捕获的凭据。

PowerExchange 攻击归因于 APT34 黑客组织

PowerExchange 攻击被归因于伊朗国家支持的黑客组织,称为 APT34 或 Oilrig。研究人员通过识别 PowerExchange 恶意软件和 TriFive 恶意软件之间惊人的相似之处建立了这种联系,此前 APT34 曾利用它在科威特政府组织的服务器中建立后门。

PowerExchange 和 TriFive 都表现出显着的相似之处。它们都基于 PowerShell,通过计划任务激活,并使用 EWS API 作为 C2 通道利用组织的 Exchange 服务器。尽管这些后门的代码明显不同,但研究人员推测 PowerExchange 代表了 TriFive 恶意软件的进化和改进迭代。

此外,值得一提的是,APT34 一直使用网络钓鱼电子邮件作为其攻击操作的初始感染媒介。通过诱使受害者与不安全的内容交互或点击这些电子邮件中的损坏链接,APT34 在目标环境中站稳脚跟,使他们能够继续进行威胁活动。 APT34 此前曾侵入阿拉伯联合酋长国的其他实体这一事实增加了将它们与这些攻击联系起来的证据。

趋势

最受关注

正在加载...