Złośliwe oprogramowanie PowerExchange atakuje organy rządowe Zjednoczonych Emiratów Arabskich

Zidentyfikowano nową formę złośliwego oprogramowania, nazwaną PowerExchange, która prawdopodobnie była wykorzystywana przez wspieraną przez państwo irańską grupę hakerską APT34, znaną również jako Oilrig.
To złośliwe oprogramowanie oparte na PowerShell zostało użyte w ataku na organizację rządową Zjednoczonych Emiratów Arabskich i umożliwia atakującym backdoor na serwerach Microsoft Exchange. Działa poprzez wysyłanie wiadomości e-mail za pomocą interfejsu Exchange Web Services API, z poleceniami zakodowanymi w base64 wysyłanymi jako załączniki i wierszem tematu „Aktualizuj Microsoft Edge”. Jest również w stanie dostarczać dodatkowe szkodliwe ładunki na serwer i eksfiltrować przechwycone pliki. Ta forma złośliwego oprogramowania została powiązana z innymi atakami APT34, ponieważ wykorzystywali oni podobne taktyki phishingowe, takie jak wysyłanie złośliwych plików wykonywalnych w zarchiwizowanych wiadomościach e-mail.
Ponadto stwierdzono, że złośliwe oprogramowanie jest podobne do TriFive, które zostało użyte w ataku na organizacje rządowe w Kuwejcie. Uważa się, że PowerExchange to nowa i ulepszona wersja TriFive.
Możliwości PowerExchange
Złośliwe oprogramowanie jest również w stanie zbierać nazwy użytkowników i hasła od osób logujących się na zainfekowane serwery Exchange poprzez podstawowe uwierzytelnianie. Odbywa się to poprzez monitorowanie ruchu HTTP w postaci zwykłego tekstu i przechwytywanie poświadczeń z danych formularza internetowego lub nagłówków HTTP. Następnie można go poinstruować, aby wysyłał zarejestrowane informacje uwierzytelniające jako parametry plików cookie.
Oprócz innych złośliwych implantów badacze odkryli również powłokę internetową o nazwie Exchange Leech, która została zainstalowana jako plik o nazwie System.Web.ServiceAuthentication.dll, ale naśladowała legalną konwencję nazewnictwa plików IIS.
Podczas dochodzenia badacze zidentyfikowali również szereg backdoorów, w tym ExchangeLeech, który był zamaskowany jako legalny plik IIS. Działa poprzez zbieranie haseł i nazw użytkowników logujących się za pomocą podstawowego uwierzytelniania poprzez monitorowanie ruchu HTTP w postaci zwykłego tekstu. Te dane uwierzytelniające są następnie wysyłane do atakującego za pośrednictwem parametrów plików cookie.
Atak jest powiązany z APT34 ze względu na podobieństwa między PowerExchange a wcześniej używanym złośliwym oprogramowaniem TriFive, które zostało użyte w ataku na organizacje rządowe w Kuwejcie. Uważa się, że PowerExchange jest bardziej wyrafinowaną wersją TriFive ze względu na kod napisany w PowerShell i wykorzystanie zaplanowanych zadań oraz interfejsu API EWS jako kanału dowodzenia i kontroli (C2). E-maile phishingowe zostały również zidentyfikowane jako początkowy wektor infekcji, a grupa ta była wcześniej powiązana z innymi atakami przeprowadzanymi w Zjednoczonych Emiratach Arabskich.