PowerExchange Malware er rettet mod UAE-regeringsorganer

En ny form for ondsindet software er blevet identificeret, døbt PowerExchange, som menes at være blevet brugt af den iranske statsstøttede hackergruppe APT34, også kendt som Oilrig.

Denne PowerShell-baserede malware blev brugt i et angreb på en regeringsorganisation i De Forenede Arabiske Emirater og tillader angribere at bagdøre Microsoft Exchange-servere. Det fungerer ved at sende e-mails ved hjælp af Exchange Web Services API, med base64-kodede kommandoer sendt som vedhæftede filer og emnelinjen "Opdater Microsoft Edge". Det er også i stand til at levere yderligere ondsindede nyttelaster til serveren og eksfiltrere høstede filer. Denne form for malware er blevet forbundet med andre angreb fra APT34, da de har brugt lignende phishing-taktik, såsom at sende ondsindede eksekverbare filer i arkiverede e-mails.

Derudover viste det sig, at malwaren havde ligheder med TriFive, som blev brugt i et angreb på kuwaitiske regeringsorganisationer. Det menes, at PowerExchange er en ny og forbedret version af TriFive.

PowerExchanges muligheder

Den ondsindede software er også i stand til at indsamle brugernavne og adgangskoder fra dem, der logger på de kompromitterede Exchange-servere gennem grundlæggende godkendelse. Dette gøres ved at overvåge HTTP-trafik med klar tekst og indfange legitimationsoplysninger fra webformulardata eller HTTP-headere. Den kan derefter instrueres i at sende de loggede legitimationsoplysninger som cookieparametre.

Udover andre ondsindede implantater opdagede forskerne også en web-shell kaldet Exchange Leech, som blev installeret som en fil ved navn System.Web.ServiceAuthentication.dll, men efterlignede den legitime IIS-filnavngivningskonvention.

Under deres undersøgelse identificerede forskerne også en række bagdøre, herunder ExchangeLeech, som var forklædt som en legitim IIS-fil. Det fungerer ved at indsamle adgangskoder og brugernavne på dem, der logger ind via grundlæggende godkendelse ved at overvåge klartekst HTTP-trafik. Disse legitimationsoplysninger sendes derefter ud til angriberen via cookieparametre.

Angrebet er knyttet til APT34 på grund af lighederne mellem PowerExchange og deres tidligere brugte TriFive malware, som blev brugt i et angreb på kuwaitiske regeringsorganisationer. Det menes, at PowerExchange er en mere sofistikeret version af TriFive, på grund af koden, der er skrevet i PowerShell og deres brug af planlagte opgaver og EWS API som en kommando-og-kontrol (C2) kanal. Phishing-e-mails er også blevet identificeret som en indledende infektionsvektor, og gruppen har tidligere været forbundet med andre UAE-baserede angreb.