Il malware PowerExchange prende di mira gli enti governativi degli Emirati Arabi Uniti

È stata identificata una nuova forma di software dannoso, denominata PowerExchange, che si ritiene sia stata utilizzata dal gruppo di hacking sostenuto dallo stato iraniano APT34, noto anche come Oilrig.

Questo malware basato su PowerShell è stato utilizzato in un attacco a un'organizzazione governativa degli Emirati Arabi Uniti e consente agli aggressori di eseguire backdoor sui server Microsoft Exchange. Funziona inviando e-mail utilizzando l'API dei servizi Web di Exchange, con i comandi con codifica base64 inviati come allegati e la riga dell'oggetto "Aggiorna Microsoft Edge". È anche in grado di fornire ulteriori payload dannosi al server ed esfiltrare i file raccolti. Questa forma di malware è stata collegata ad altri attacchi di APT34, poiché hanno utilizzato tattiche di phishing simili, come l'invio di eseguibili dannosi nelle e-mail archiviate.

Inoltre, è stato riscontrato che il malware presenta somiglianze con TriFive, che è stato utilizzato in un attacco alle organizzazioni governative kuwaitiane. Si pensa che PowerExchange sia una versione nuova e migliorata di TriFive.

Funzionalità di PowerExchange

Il software dannoso è anche in grado di raccogliere nomi utente e password da coloro che accedono ai server Exchange compromessi tramite l'autenticazione di base. Questo viene fatto monitorando il traffico HTTP in chiaro e acquisendo le credenziali dai dati del modulo web o dalle intestazioni HTTP. Può quindi essere istruito a inviare le informazioni sulle credenziali registrate come parametri dei cookie.

Oltre ad altri impianti dannosi, i ricercatori hanno anche scoperto una web shell denominata Exchange Leech che è stata installata come file denominato System.Web.ServiceAuthentication.dll, ma imitava la legittima convenzione di denominazione dei file IIS.

Durante la loro indagine, i ricercatori hanno anche identificato una serie di backdoor, tra cui ExchangeLeech, mascherato da file IIS legittimo. Funziona raccogliendo password e nomi utente di coloro che accedono tramite l'autenticazione di base monitorando il traffico HTTP in chiaro. Queste credenziali vengono quindi inviate all'aggressore tramite i parametri dei cookie.

L'attacco è collegato ad APT34 a causa delle somiglianze tra PowerExchange e il loro malware TriFive utilizzato in precedenza, utilizzato in un attacco alle organizzazioni governative kuwaitiane. Si ritiene che PowerExchange sia una versione più sofisticata di TriFive, a causa del codice scritto in PowerShell e del loro utilizzo di attività pianificate e dell'API EWS come canale di comando e controllo (C2). Anche le e-mail di phishing sono state identificate come vettore di infezione iniziale e il gruppo è stato precedentemente collegato ad altri attacchi basati sugli Emirati Arabi Uniti.