„PowerExchange“ kenkėjiška programa yra skirta JAE vyriausybės institucijoms
Buvo nustatyta nauja kenkėjiškos programinės įrangos forma, pavadinta „PowerExchange“, kurią, kaip manoma, naudojo Irano valstybės remiama programišių grupė APT34, dar žinoma kaip „Oilrig“.
Ši „PowerShell“ pagrindu sukurta kenkėjiška programa buvo panaudota atakuojant Jungtinių Arabų Emyratų vyriausybinę organizaciją ir leidžia užpuolikams uždaryti „Microsoft Exchange“ serverius. Jis veikia siunčiant el. laiškus naudojant „Exchange Web Services“ API su „base64“ koduotomis komandomis, siunčiamomis kaip priedai ir temos eilute „Atnaujinti Microsoft Edge“. Jis taip pat gali pristatyti papildomus kenksmingus krovinius į serverį ir išfiltruoti surinktus failus. Šios formos kenkėjiškos programos buvo susietos su kitomis APT34 atakomis, nes jos naudojo panašią sukčiavimo taktiką, pvz., kenkėjiškų vykdomųjų failų siuntimą archyvuotuose el. laiškuose.
Be to, buvo nustatyta, kad kenkėjiška programa turi panašumų su „TriFive“, kuri buvo naudojama atakuojant Kuveito vyriausybines organizacijas. Manoma, kad PowerExchange yra nauja ir patobulinta TriFive versija.
PowerExchange galimybės
Kenkėjiška programinė įranga taip pat gali rinkti naudotojų vardus ir slaptažodžius iš tų, kurie prisijungia prie pažeistų „Exchange“ serverių naudojant pagrindinį autentifikavimą. Tai atliekama stebint aiškaus teksto HTTP srautą ir fiksuojant kredencialus iš žiniatinklio formos duomenų arba HTTP antraščių. Tada jai gali būti nurodyta siųsti užregistruotą kredencialo informaciją kaip slapuko parametrus.
Be kitų kenkėjiškų implantų, tyrėjai taip pat aptiko žiniatinklio apvalkalą, pavadintą Exchange Leech, kuris buvo įdiegtas kaip failas pavadinimu System.Web.ServiceAuthentication.dll, tačiau imitavo teisėtą IIS failų pavadinimų suteikimo tvarką.
Tyrimo metu mokslininkai taip pat nustatė keletą užpakalinių durų, įskaitant „ExchangeLeech“, kuri buvo užmaskuota kaip teisėtas IIS failas. Jis veikia renkant slaptažodžius ir naudotojų vardus tų, kurie prisijungia naudodami pagrindinį autentifikavimą, stebint aiškaus teksto HTTP srautą. Tada šie kredencialai siunčiami užpuolikui naudojant slapukų parametrus.
Ataka yra susijusi su APT34 dėl panašumų tarp „PowerExchange“ ir anksčiau naudotos „TriFive“ kenkėjiškos programos, kuri buvo panaudota atakuojant Kuveito vyriausybines organizacijas. Manoma, kad „PowerExchange“ yra sudėtingesnė „TriFive“ versija, nes kodas parašytas „PowerShell“ ir naudojant suplanuotas užduotis bei EWS API kaip komandų ir valdymo (C2) kanalą. Sukčiavimo el. laiškai taip pat buvo nustatyti kaip pradinis infekcijos vektorius, o grupė anksčiau buvo siejama su kitomis JAE atakomis.