PowerExchangeマルウェアがUAE政府機関を標的に
PowerExchange と呼ばれる新しい形式の悪意のあるソフトウェアが特定されました。これは、オイルリグとしても知られるイラン国家支援のハッキング グループ APT34 によって使用されていたと考えられています。
この PowerShell ベースのマルウェアは、アラブ首長国連邦政府組織への攻撃に使用され、攻撃者が Microsoft Exchange サーバーをバックドアできるようにします。これは、Exchange Web サービス API を使用して電子メールを送信することで機能します。base64 でエンコードされたコマンドが添付ファイルとして送信され、件名に「Microsoft Edge の更新」が含まれます。また、追加の悪意のあるペイロードをサーバーに配信し、収集されたファイルを抽出することもできます。この形式のマルウェアは、アーカイブされた電子メールで悪意のある実行可能ファイルを送信するなど、同様のフィッシング戦術を使用しているため、APT34 による他の攻撃と関連付けられています。
さらに、このマルウェアはクウェート政府機関への攻撃に使用された TriFive との類似点があることが判明しました。 PowerExchange は TriFive の新しく改良されたバージョンであると考えられています。
PowerExchangeの機能
この悪意のあるソフトウェアは、基本認証を通じて侵害された Exchange サーバーにログインしているユーザーからユーザー名とパスワードを収集することもできます。これは、クリア テキストの HTTP トラフィックを監視し、Web フォーム データまたは HTTP ヘッダーから資格情報を取得することによって行われます。その後、ログに記録された資格情報を Cookie パラメーターとして送信するように指示できます。
研究者らは、他の悪意のあるインプラントと同様に、Exchange Leech と呼ばれる Web シェルも発見しました。これは、System.Web.ServiceAuthentication.dll という名前のファイルとしてインストールされていましたが、正規の IIS ファイル命名規則を模倣していました。
研究者らは調査中に、正規の IIS ファイルを装った ExchangeLeech を含む多数のバックドアも特定しました。これは、クリア テキストの HTTP トラフィックを監視し、基本認証経由でログインしているユーザーのパスワードとユーザー名を収集することで機能します。これらの資格情報は、Cookie パラメーターを介して攻撃者に送信されます。
PowerExchangeと、クウェート政府組織への攻撃で使用された以前に使用されたTriFiveマルウェアとの類似点により、この攻撃はAPT34に関連付けられています。 PowerExchange は、コードが PowerShell で記述されており、スケジュールされたタスクと EWS API をコマンド アンド コントロール (C2) チャネルとして使用しているため、TriFive のより洗練されたバージョンであると考えられています。フィッシングメールも初期の感染ベクトルとして特定されており、このグループは以前、他の UAE ベースの攻撃と関連付けられていました。