Вредоносное ПО PowerExchange нацелено на правительственные органы ОАЭ

Обнаружена новая форма вредоносного программного обеспечения под названием PowerExchange, которое, как полагают, использовалось поддерживаемой государством иранской хакерской группой APT34, также известной как Oilrig.

Эта вредоносная программа на основе PowerShell использовалась в атаке на правительственную организацию Объединенных Арабских Эмиратов и позволяет злоумышленникам использовать бэкдор на серверах Microsoft Exchange. Он работает, отправляя электронные письма с использованием API веб-служб Exchange, с командами в кодировке base64, отправляемыми в виде вложений и строкой темы «Обновить Microsoft Edge». Он также способен доставлять на сервер дополнительные вредоносные данные и извлекать собранные файлы. Эта форма вредоносного ПО была связана с другими атаками APT34, поскольку они использовали аналогичную тактику фишинга, например, отправку вредоносных исполняемых файлов в архивных электронных письмах.

Кроме того, было обнаружено, что вредоносное ПО имеет сходство с TriFive, который использовался для атаки на кувейтские правительственные организации. Считается, что PowerExchange — это новая и улучшенная версия TriFive.

Возможности PowerExchange

Вредоносное программное обеспечение также может собирать имена пользователей и пароли от тех, кто входит на скомпрометированные серверы Exchange с помощью базовой аутентификации. Это делается путем мониторинга HTTP-трафика в виде открытого текста и получения учетных данных из данных веб-формы или HTTP-заголовков. Затем ему можно дать указание отправить зарегистрированную учетную информацию в качестве параметров cookie.

Наряду с другими вредоносными имплантатами исследователи также обнаружили веб-оболочку, получившую название Exchange Leech, которая была установлена как файл с именем System.Web.ServiceAuthentication.dll, но имитировала законное соглашение об именах файлов IIS.

В ходе своего расследования исследователи также выявили ряд бэкдоров, в том числе ExchangeLeech, который был замаскирован под легитимный файл IIS. Он работает путем сбора паролей и имен пользователей тех, кто входит в систему с помощью базовой аутентификации, путем мониторинга HTTP-трафика в виде открытого текста. Затем эти учетные данные отправляются злоумышленнику через параметры cookie.

Атака связана с APT34 из-за сходства между PowerExchange и их ранее используемым вредоносным ПО TriFive, которое использовалось в атаке на кувейтские правительственные организации. Считается, что PowerExchange является более сложной версией TriFive из-за кода, написанного в PowerShell, и использования запланированных задач и API EWS в качестве канала управления и контроля (C2). Фишинговые электронные письма также были идентифицированы как первоначальный вектор заражения, и эта группа ранее была связана с другими атаками в ОАЭ.

May 25, 2023
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.