PowerExchange 惡意軟件
一種新發現的名為 PowerExchange 的惡意軟件出現在攻擊行動中。這個新穎的後門使用 PowerShell 作為其主要腳本語言。該惡意軟件用於在本地 Microsoft Exchange 服務器上建立後門。涉及威脅的攻擊事件可能與APT34 (高級持續威脅)伊朗國家黑客有關。
威脅行為者使用的攻擊媒介涉及通過網絡釣魚電子郵件滲透目標郵件服務器。該電子郵件包含一個壓縮存檔,其中包含一個受感染的可執行文件。一旦執行,PowerExchange 就會被部署,使黑客能夠獲得未經授權的訪問和控制受感染的 Microsoft Exchange 服務器。接下來,威脅行為者還利用一個名為 ExchangeLeech 的 Web 外殼,該外殼於 2020 年首次被發現,使他們能夠竊取敏感數據,主要側重於竊取存儲在受感染的 Microsoft Exchange 服務器中的用戶憑據。
PowerExchange 惡意軟件與 ExchangeLeech Web shell 的結合使用展示了 APT34 在其威脅活動中採用的複雜策略。 PowerExchange 後門是由位於阿拉伯聯合酋長國的政府組織的受損系統的研究團隊發現的。
目錄
PowerExchange 惡意軟件利用受害者的 Exchange 服務器
PowerExchange 惡意軟件與攻擊操作的命令和控制 (C2) 服務器建立通信。它利用通過 Exchange Web 服務 (EWS) API 發送的電子郵件,利用這些電子郵件中的文本附件發送收集的信息並接收 base64 編碼的命令。這些電子郵件帶有主題行“更新 Microsoft Edge”,試圖避免引起受害者的額外審查。
使用受害者的 Exchange 服務器作為 C2 通道是威脅行為者故意採用的策略。這種方法允許後門與合法流量混合,使基於網絡的檢測和補救機制極難識別和減輕威脅。通過在組織的基礎設施內偽裝其活動,威脅行為者可以有效地避免檢測並保持隱蔽存在。
PowerExchange 後門為操作員提供了對受感染服務器的廣泛控制。它使他們能夠執行各種命令,包括將額外的威脅有效負載傳送到受感染的服務器上以及洩露所收集的文件。這種多功能性使威脅行為者能夠擴大其影響範圍並在受感染的環境中開展進一步的有害活動。
作為 PowerExchange 後門攻擊的一部分部署了額外的威脅性植入物
還發現了包含各種其他不安全植入物的其他受損端點。值得注意的是,其中一個被發現的植入物是 ExchangeLeech Web shell,它偽裝成一個名為 System.Web.ServiceAuthentication.dll 的文件,採用通常與合法 IIS 文件關聯的命名約定。
ExchangeLeech 通過主動收集敏感信息來運作,特別是針對使用基本身份驗證登錄到受感染 Exchange 服務器的個人的用戶名和密碼。這是通過 Web shell 監視明文 HTTP 流量並從 Web 表單數據或 HTTP 標頭捕獲憑據的能力實現的。
為了進一步利用受感染的服務器,攻擊者可以指示 Web shell 通過 cookie 參數傳輸收集的憑據日誌。這使他們能夠在不引起懷疑的情況下秘密洩露捕獲的憑據。
PowerExchange 攻擊歸因於 APT34 黑客組織
PowerExchange 攻擊被歸因於伊朗國家支持的黑客組織,稱為 APT34 或 Oilrig。研究人員通過識別 PowerExchange 惡意軟件和 TriFive 惡意軟件之間驚人的相似之處建立了這種聯繫,此前 APT34 曾利用它在科威特政府組織的服務器中建立後門。
PowerExchange 和 TriFive 都表現出顯著的相似之處。它們都基於 PowerShell,通過計劃任務激活,並使用 EWS API 作為 C2 通道利用組織的 Exchange 服務器。儘管這些後門的代碼明顯不同,但研究人員推測 PowerExchange 代表了 TriFive 惡意軟件的進化和改進迭代。
此外,值得一提的是,APT34 一直使用網絡釣魚電子郵件作為其攻擊操作的初始感染媒介。通過誘使受害者與不安全的內容交互或點擊這些電子郵件中的損壞鏈接,APT34 在目標環境中站穩腳跟,使他們能夠繼續進行威脅活動。 APT34 此前曾侵入阿拉伯聯合酋長國的其他實體這一事實增加了將它們與這些攻擊聯繫起來的證據。
