El malware PowerExchange se dirige a los organismos gubernamentales de los EAU
Se identificó una nueva forma de software malicioso, denominado PowerExchange, que se cree que fue utilizado por el grupo de piratería respaldado por el estado iraní APT34, también conocido como Oilrig.
Este malware basado en PowerShell se usó en un ataque a una organización gubernamental de los Emiratos Árabes Unidos y permite a los atacantes acceder a los servidores de Microsoft Exchange. Funciona mediante el envío de correos electrónicos utilizando la API de servicios web de Exchange, con comandos codificados en base64 enviados como archivos adjuntos y la línea de asunto "Actualizar Microsoft Edge". También es capaz de entregar cargas útiles maliciosas adicionales al servidor y filtrar los archivos recopilados. Esta forma de malware se ha relacionado con otros ataques de APT34, ya que han utilizado tácticas de phishing similares, como el envío de ejecutables maliciosos en correos electrónicos archivados.
Además, se descubrió que el malware tenía similitudes con TriFive, que se utilizó en un ataque contra organizaciones gubernamentales de Kuwait. Se cree que PowerExchange es una versión nueva y mejorada de TriFive.
Capacidades de PowerExchange
El software malicioso también puede recopilar nombres de usuario y contraseñas de quienes inician sesión en los servidores de Exchange comprometidos a través de la autenticación básica. Esto se hace monitoreando el tráfico HTTP de texto claro y capturando credenciales de datos de formularios web o encabezados HTTP. Luego se le puede indicar que envíe la información de la credencial registrada como parámetros de cookies.
Junto con otros implantes maliciosos, los investigadores también descubrieron un shell web denominado Exchange Leech que se instaló como un archivo llamado System.Web.ServiceAuthentication.dll, pero imitaba la convención de nomenclatura de archivos legítima de IIS.
Durante su investigación, los investigadores también identificaron varias puertas traseras, incluido ExchangeLeech, que estaba disfrazado como un archivo IIS legítimo. Funciona mediante la recopilación de contraseñas y nombres de usuario de quienes inician sesión a través de la autenticación básica al monitorear el tráfico HTTP de texto claro. Estas credenciales luego se envían al atacante a través de parámetros de cookies.
El ataque está vinculado a APT34 debido a las similitudes entre PowerExchange y su malware TriFive utilizado anteriormente, que se utilizó en un ataque contra organizaciones gubernamentales de Kuwait. Se cree que PowerExchange es una versión más sofisticada de TriFive, debido a que el código está escrito en PowerShell y su uso de tareas programadas y la API de EWS como un canal de comando y control (C2). Los correos electrónicos de phishing también se identificaron como un vector de infección inicial, y el grupo se vinculó previamente a otros ataques basados en los EAU.
