Вредоносное ПО PowerExchange нацелено на правительственные органы ОАЭ

Обнаружена новая форма вредоносного программного обеспечения под названием PowerExchange, которое, как полагают, использовалось поддерживаемой государством иранской хакерской группой APT34, также известной как Oilrig.

Эта вредоносная программа на основе PowerShell использовалась в атаке на правительственную организацию Объединенных Арабских Эмиратов и позволяет злоумышленникам использовать бэкдор на серверах Microsoft Exchange. Он работает, отправляя электронные письма с использованием API веб-служб Exchange, с командами в кодировке base64, отправляемыми в виде вложений и строкой темы «Обновить Microsoft Edge». Он также способен доставлять на сервер дополнительные вредоносные данные и извлекать собранные файлы. Эта форма вредоносного ПО была связана с другими атаками APT34, поскольку они использовали аналогичную тактику фишинга, например, отправку вредоносных исполняемых файлов в архивных электронных письмах.

Кроме того, было обнаружено, что вредоносное ПО имеет сходство с TriFive, который использовался для атаки на кувейтские правительственные организации. Считается, что PowerExchange — это новая и улучшенная версия TriFive.

Возможности PowerExchange

Вредоносное программное обеспечение также может собирать имена пользователей и пароли от тех, кто входит на скомпрометированные серверы Exchange с помощью базовой аутентификации. Это делается путем мониторинга HTTP-трафика в виде открытого текста и получения учетных данных из данных веб-формы или HTTP-заголовков. Затем ему можно дать указание отправить зарегистрированную учетную информацию в качестве параметров cookie.

Наряду с другими вредоносными имплантатами исследователи также обнаружили веб-оболочку, получившую название Exchange Leech, которая была установлена как файл с именем System.Web.ServiceAuthentication.dll, но имитировала законное соглашение об именах файлов IIS.

В ходе своего расследования исследователи также выявили ряд бэкдоров, в том числе ExchangeLeech, который был замаскирован под легитимный файл IIS. Он работает путем сбора паролей и имен пользователей тех, кто входит в систему с помощью базовой аутентификации, путем мониторинга HTTP-трафика в виде открытого текста. Затем эти учетные данные отправляются злоумышленнику через параметры cookie.

Атака связана с APT34 из-за сходства между PowerExchange и их ранее используемым вредоносным ПО TriFive, которое использовалось в атаке на кувейтские правительственные организации. Считается, что PowerExchange является более сложной версией TriFive из-за кода, написанного в PowerShell, и использования запланированных задач и API EWS в качестве канала управления и контроля (C2). Фишинговые электронные письма также были идентифицированы как первоначальный вектор заражения, и эта группа ранее была связана с другими атаками в ОАЭ.