PowerExchange-malware retter seg mot UAE-myndigheter

En ny form for skadelig programvare er identifisert, kalt PowerExchange, som antas å ha blitt brukt av den iranske statsstøttede hackergruppen APT34, også kjent som Oilrig.

Denne PowerShell-baserte skadelige programvaren ble brukt i et angrep på en regjeringsorganisasjon i De forente arabiske emirater og lar angripere bakdør Microsoft Exchange-servere. Det fungerer ved å sende e-poster ved hjelp av Exchange Web Services API, med base64-kodede kommandoer sendt som vedlegg og emnelinjen "Oppdater Microsoft Edge". Den er også i stand til å levere ytterligere skadelige nyttelaster til serveren og eksfiltrere innhentede filer. Denne formen for skadelig programvare har blitt koblet til andre angrep fra APT34, ettersom de har brukt lignende phishing-taktikker, som å sende ondsinnede kjørbare filer i arkiverte e-poster.

I tillegg ble det funnet at skadevaren har likheter med TriFive, som ble brukt i et angrep på kuwaitiske regjeringsorganisasjoner. Det antas at PowerExchange er en ny og forbedret versjon av TriFive.

PowerExchanges evner

Den ondsinnede programvaren er også i stand til å samle brukernavn og passord fra de som logger på de kompromitterte Exchange-serverne gjennom grunnleggende autentisering. Dette gjøres ved å overvåke klartekst HTTP-trafikk og fange opp legitimasjon fra nettskjemadata eller HTTP-hoder. Den kan deretter bli bedt om å sende den loggede legitimasjonsinformasjonen som informasjonskapselparametere.

Ved siden av andre ondsinnede implantater, oppdaget forskerne også et nettskall kalt Exchange Leech som ble installert som en fil kalt System.Web.ServiceAuthentication.dll, men etterlignet den legitime IIS-filnavnekonvensjonen.

Under etterforskningen identifiserte forskerne også en rekke bakdører, inkludert ExchangeLeech, som var forkledd som en legitim IIS-fil. Det fungerer ved å samle inn passord og brukernavn til de som logger på via grunnleggende autentisering ved å overvåke klartekst HTTP-trafikk. Disse legitimasjonene sendes deretter ut til angriperen via informasjonskapselparametere.

Angrepet er knyttet til APT34 på grunn av likhetene mellom PowerExchange og deres tidligere brukte TriFive malware, som ble brukt i et angrep på kuwaitiske regjeringsorganisasjoner. Det antas at PowerExchange er en mer sofistikert versjon av TriFive, på grunn av koden som er skrevet i PowerShell og deres bruk av planlagte oppgaver og EWS API som en kommando-og-kontroll (C2) kanal. Phishing-e-poster har også blitt identifisert som en første infeksjonsvektor, og gruppen har tidligere vært knyttet til andre UAE-baserte angrep.

May 25, 2023
Laster ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.