Malware do PowerExchange tem como alvo órgãos governamentais dos Emirados Árabes Unidos

Uma nova forma de software malicioso foi identificada, apelidada de PowerExchange, que se acredita ter sido usada pelo grupo de hackers apoiado pelo estado iraniano APT34, também conhecido como Oilrig.

Esse malware baseado em PowerShell foi usado em um ataque a uma organização do governo dos Emirados Árabes Unidos e permite que os invasores façam backdoor de servidores Microsoft Exchange. Ele funciona enviando e-mails usando a API do Exchange Web Services, com comandos codificados em base64 enviados como anexos e a linha de assunto "Atualizar Microsoft Edge". Ele também é capaz de fornecer cargas maliciosas adicionais ao servidor e exfiltrar arquivos colhidos. Essa forma de malware foi vinculada a outros ataques do APT34, pois eles usaram táticas de phishing semelhantes, como o envio de executáveis maliciosos em e-mails arquivados.

Além disso, descobriu-se que o malware tinha semelhanças com o TriFive, que foi usado em um ataque a organizações governamentais do Kuwait. Acredita-se que o PowerExchange seja uma versão nova e aprimorada do TriFive.

Recursos do PowerExchange

O software malicioso também é capaz de coletar nomes de usuários e senhas daqueles que fazem login nos servidores Exchange comprometidos por meio de autenticação básica. Isso é feito monitorando o tráfego HTTP de texto não criptografado e capturando credenciais de dados de formulário da web ou cabeçalhos HTTP. Ele pode então ser instruído a enviar as informações de credenciais registradas como parâmetros de cookie.

Juntamente com outros implantes maliciosos, os pesquisadores também descobriram um shell da web chamado Exchange Leech, que foi instalado como um arquivo chamado System.Web.ServiceAuthentication.dll, mas imitou a convenção legítima de nomenclatura de arquivos do IIS.

Durante a investigação, os pesquisadores também identificaram vários backdoors, incluindo o ExchangeLeech, que estava disfarçado como um arquivo legítimo do IIS. Ele funciona coletando senhas e nomes de usuário daqueles que fazem login por meio de autenticação básica, monitorando o tráfego HTTP de texto não criptografado. Essas credenciais são enviadas ao invasor por meio de parâmetros de cookie.

O ataque está vinculado ao APT34 devido às semelhanças entre o PowerExchange e seu malware TriFive usado anteriormente, que foi usado em um ataque a organizações governamentais do Kuwait. Acredita-se que o PowerExchange seja uma versão mais sofisticada do TriFive, devido ao código ser escrito no PowerShell e ao uso de tarefas agendadas e da API EWS como um canal de comando e controle (C2). E-mails de phishing também foram identificados como um vetor de infecção inicial, e o grupo já foi vinculado a outros ataques baseados nos Emirados Árabes Unidos.