A PowerExchange rosszindulatú programjai az Egyesült Arab Emírségek kormányzati szerveit célozzák

A rosszindulatú szoftverek új formáját azonosították, a PowerExchange nevet, amelyet feltételezések szerint az iráni állami támogatású APT34 hackercsoport, más néven Oilrig használt.

Ezt a PowerShell-alapú rosszindulatú programot egy Egyesült Arab Emírségek kormányzati szervezete elleni támadásban használták, és lehetővé teszi a támadók számára, hogy a Microsoft Exchange-kiszolgálókat háttérbe szorítsák. Úgy működik, hogy e-maileket küld az Exchange Web Services API-n keresztül, a base64 kódolású parancsokkal mellékletként és a „Microsoft Edge frissítése” tárgysorral. Ezenkívül képes további rosszindulatú rakományokat szállítani a szerverre, és kiszűrni a betakarított fájlokat. A rosszindulatú programok ezen formáját az APT34 más támadásaival is kapcsolatba hozták, mivel hasonló adathalász taktikákat alkalmaztak, például rosszindulatú végrehajtható fájlokat küldtek az archivált e-mailekben.

Ezenkívül megállapították, hogy a kártevő hasonlóságot mutat a TriFive-val, amelyet kuvaiti kormányzati szervezetek elleni támadásban használtak. Úgy gondolják, hogy a PowerExchange a TriFive új és továbbfejlesztett változata.

A PowerExchange képességei

A rosszindulatú szoftver alaphitelesítéssel képes begyűjteni a feltört Exchange szerverekre bejelentkezők felhasználóneveit és jelszavait is. Ez az egyértelmű szöveges HTTP-forgalom figyelésével és a hitelesítő adatok webűrlap-adatokból vagy HTTP-fejlécekből történő rögzítésével történik. Ezután utasítható, hogy a naplózott hitelesítő adatokat cookie-paraméterként küldje el.

Más rosszindulatú implantátumok mellett a kutatók egy Exchange Leech névre keresztelt webhéjat is felfedeztek, amelyet System.Web.ServiceAuthentication.dll fájlként telepítettek, de utánozták a törvényes IIS fájlelnevezési konvenciót.

Vizsgálatuk során a kutatók számos hátsó ajtót is azonosítottak, köztük az ExchangeLeech-et, amelyet legitim IIS-fájlnak álcáztak. Úgy működik, hogy összegyűjti az alapvető hitelesítéssel bejelentkezők jelszavait és felhasználóneveit, az egyértelmű szöveges HTTP-forgalom figyelésével. Ezek a hitelesítő adatok ezután cookie-paramétereken keresztül elküldésre kerülnek a támadónak.

A támadás az APT34-hez kapcsolódik, mivel hasonlóak a PowerExchange és a korábban használt TriFive kártevők, amelyeket kuvaiti kormányzati szervezetek elleni támadásban használtak. Úgy gondolják, hogy a PowerExchange a TriFive kifinomultabb verziója, mivel a kódot PowerShellben írják, valamint az ütemezett feladatokat és az EWS API-t parancs- és vezérlő (C2) csatornaként használják. Az adathalász e-maileket a fertőzés kezdeti vektoraként is azonosították, és a csoportot korábban más, az Egyesült Arab Emírségekből származó támadásokkal is kapcsolatba hozták.