Το κακόβουλο λογισμικό PowerExchange στοχεύει σε κυβερνητικούς φορείς των ΗΑΕ
Εντοπίστηκε μια νέα μορφή κακόβουλου λογισμικού, που ονομάστηκε PowerExchange, το οποίο πιστεύεται ότι χρησιμοποιήθηκε από την υποστηριζόμενη από το ιρανικό κράτος ομάδα hacking APT34, γνωστή και ως Oilrig.
Αυτό το κακόβουλο λογισμικό που βασίζεται σε PowerShell χρησιμοποιήθηκε σε μια επίθεση σε κυβερνητικό οργανισμό των Ηνωμένων Αραβικών Εμιράτων και επιτρέπει στους εισβολείς να κάνουν backdoor διακομιστές Microsoft Exchange. Λειτουργεί με την αποστολή email χρησιμοποιώντας το Exchange Web Services API, με εντολές με κωδικοποίηση base64 που αποστέλλονται ως συνημμένα και τη γραμμή θέματος "Ενημέρωση Microsoft Edge". Είναι επίσης σε θέση να παραδώσει πρόσθετα κακόβουλα ωφέλιμα φορτία στον διακομιστή και να διεγείρει τα συλλεγμένα αρχεία. Αυτή η μορφή κακόβουλου λογισμικού έχει συνδεθεί με άλλες επιθέσεις από το APT34, καθώς έχουν χρησιμοποιήσει παρόμοιες τακτικές phishing, όπως η αποστολή κακόβουλων εκτελέσιμων αρχείων σε αρχειοθετημένα μηνύματα ηλεκτρονικού ταχυδρομείου.
Επιπλέον, το κακόβουλο λογισμικό διαπιστώθηκε ότι έχει ομοιότητες με το TriFive, το οποίο χρησιμοποιήθηκε σε επίθεση σε κυβερνητικούς οργανισμούς του Κουβέιτ. Θεωρείται ότι το PowerExchange είναι μια νέα και βελτιωμένη έκδοση του TriFive.
Δυνατότητες του PowerExchange
Το κακόβουλο λογισμικό είναι επίσης σε θέση να συλλέγει ονόματα χρήστη και κωδικούς πρόσβασης από αυτούς που συνδέονται στους παραβιασμένους διακομιστές Exchange μέσω βασικού ελέγχου ταυτότητας. Αυτό γίνεται με την παρακολούθηση της κυκλοφορίας HTTP καθαρού κειμένου και τη λήψη διαπιστευτηρίων από δεδομένα φόρμας ιστού ή κεφαλίδες HTTP. Στη συνέχεια, μπορεί να λάβει εντολή να στείλει τις καταγεγραμμένες πληροφορίες διαπιστευτηρίων ως παραμέτρους cookie.
Μαζί με άλλα κακόβουλα εμφυτεύματα, οι ερευνητές ανακάλυψαν επίσης ένα κέλυφος Ιστού με το όνομα Exchange Leech το οποίο εγκαταστάθηκε ως αρχείο με το όνομα System.Web.ServiceAuthentication.dll, αλλά μιμήθηκε τη νόμιμη σύμβαση ονομασίας αρχείων των IIS.
Κατά τη διάρκεια της έρευνάς τους, οι ερευνητές εντόπισαν επίσης μια σειρά από κερκόπορτες, συμπεριλαμβανομένου του ExchangeLeech, το οποίο ήταν μεταμφιεσμένο ως νόμιμο αρχείο IIS. Λειτουργεί συλλέγοντας κωδικούς πρόσβασης και ονόματα χρήστη όσων συνδέονται μέσω βασικού ελέγχου ταυτότητας παρακολουθώντας την κυκλοφορία HTTP καθαρού κειμένου. Στη συνέχεια, αυτά τα διαπιστευτήρια αποστέλλονται στον εισβολέα μέσω παραμέτρων cookie.
Η επίθεση συνδέεται με το APT34 λόγω των ομοιοτήτων μεταξύ του PowerExchange και του κακόβουλου λογισμικού TriFive που χρησιμοποιήθηκε στο παρελθόν, το οποίο χρησιμοποιήθηκε σε επίθεση σε κυβερνητικούς οργανισμούς του Κουβέιτ. Θεωρείται ότι το PowerExchange είναι μια πιο εξελιγμένη έκδοση του TriFive, λόγω του κώδικα που γράφεται στο PowerShell και της χρήσης προγραμματισμένων εργασιών και του EWS API ως καναλιού εντολών και ελέγχου (C2). Τα μηνύματα ηλεκτρονικού ψαρέματος έχουν επίσης αναγνωριστεί ως ένας αρχικός φορέας μόλυνσης και η ομάδα έχει συνδεθεί στο παρελθόν με άλλες επιθέσεις που βασίζονται στα ΗΑΕ.
