Les logiciels malveillants PowerExchange ciblent les organismes gouvernementaux des Émirats arabes unis
Une nouvelle forme de logiciel malveillant a été identifiée, baptisée PowerExchange, qui aurait été utilisée par le groupe de piratage informatique soutenu par l'État iranien APT34, également connu sous le nom d'Oilrig.
Ce logiciel malveillant basé sur PowerShell a été utilisé lors d'une attaque contre une organisation gouvernementale des Émirats arabes unis et permet aux attaquants d'accéder par des portes dérobées aux serveurs Microsoft Exchange. Il fonctionne en envoyant des e-mails à l'aide de l'API Exchange Web Services, avec des commandes encodées en base64 envoyées sous forme de pièces jointes et la ligne d'objet "Mettre à jour Microsoft Edge". Il est également capable de fournir des charges utiles malveillantes supplémentaires au serveur et d'exfiltrer les fichiers récoltés. Cette forme de malware a été liée à d'autres attaques par APT34, car ils ont utilisé des tactiques de phishing similaires, telles que l'envoi d'exécutables malveillants dans des e-mails archivés.
De plus, il a été constaté que le logiciel malveillant présentait des similitudes avec TriFive, qui a été utilisé lors d'une attaque contre des organisations gouvernementales koweïtiennes. On pense que PowerExchange est une nouvelle version améliorée de TriFive.
Capacités de PowerExchange
Le logiciel malveillant est également capable de collecter les noms d'utilisateur et les mots de passe de ceux qui se connectent aux serveurs Exchange compromis via une authentification de base. Cela se fait en surveillant le trafic HTTP en texte clair et en capturant les informations d'identification à partir des données de formulaire Web ou des en-têtes HTTP. Il peut ensuite être chargé d'envoyer les informations d'identification enregistrées en tant que paramètres de cookie.
Parallèlement à d'autres implants malveillants, les chercheurs ont également découvert un shell Web appelé Exchange Leech qui a été installé en tant que fichier nommé System.Web.ServiceAuthentication.dll, mais qui imitait la convention de dénomination de fichier IIS légitime.
Au cours de leur enquête, les chercheurs ont également identifié un certain nombre de portes dérobées, dont ExchangeLeech, déguisé en fichier IIS légitime. Il fonctionne en collectant les mots de passe et les noms d'utilisateur de ceux qui se connectent via une authentification de base en surveillant le trafic HTTP en texte clair. Ces informations d'identification sont ensuite envoyées à l'attaquant via les paramètres des cookies.
L'attaque est liée à APT34 en raison des similitudes entre PowerExchange et leur logiciel malveillant TriFive précédemment utilisé, qui a été utilisé dans une attaque contre des organisations gouvernementales koweïtiennes. On pense que PowerExchange est une version plus sophistiquée de TriFive, en raison du code écrit dans PowerShell et de leur utilisation des tâches planifiées et de l'API EWS comme canal de commande et de contrôle (C2). Les e-mails de phishing ont également été identifiés comme un vecteur d'infection initial, et le groupe a déjà été lié à d'autres attaques basées aux EAU.
