Вредоносное ПО PowerExchange нацелено на правительственные органы ОАЭ
![](https://www.cyclonis.com/images/2022/02/iranapt-765x430.jpg)
Обнаружена новая форма вредоносного программного обеспечения под названием PowerExchange, которое, как полагают, использовалось поддерживаемой государством иранской хакерской группой APT34, также известной как Oilrig.
Эта вредоносная программа на основе PowerShell использовалась в атаке на правительственную организацию Объединенных Арабских Эмиратов и позволяет злоумышленникам использовать бэкдор на серверах Microsoft Exchange. Он работает, отправляя электронные письма с использованием API веб-служб Exchange, с командами в кодировке base64, отправляемыми в виде вложений и строкой темы «Обновить Microsoft Edge». Он также способен доставлять на сервер дополнительные вредоносные данные и извлекать собранные файлы. Эта форма вредоносного ПО была связана с другими атаками APT34, поскольку они использовали аналогичную тактику фишинга, например, отправку вредоносных исполняемых файлов в архивных электронных письмах.
Кроме того, было обнаружено, что вредоносное ПО имеет сходство с TriFive, который использовался для атаки на кувейтские правительственные организации. Считается, что PowerExchange — это новая и улучшенная версия TriFive.
Возможности PowerExchange
Вредоносное программное обеспечение также может собирать имена пользователей и пароли от тех, кто входит на скомпрометированные серверы Exchange с помощью базовой аутентификации. Это делается путем мониторинга HTTP-трафика в виде открытого текста и получения учетных данных из данных веб-формы или HTTP-заголовков. Затем ему можно дать указание отправить зарегистрированную учетную информацию в качестве параметров cookie.
Наряду с другими вредоносными имплантатами исследователи также обнаружили веб-оболочку, получившую название Exchange Leech, которая была установлена как файл с именем System.Web.ServiceAuthentication.dll, но имитировала законное соглашение об именах файлов IIS.
В ходе своего расследования исследователи также выявили ряд бэкдоров, в том числе ExchangeLeech, который был замаскирован под легитимный файл IIS. Он работает путем сбора паролей и имен пользователей тех, кто входит в систему с помощью базовой аутентификации, путем мониторинга HTTP-трафика в виде открытого текста. Затем эти учетные данные отправляются злоумышленнику через параметры cookie.
Атака связана с APT34 из-за сходства между PowerExchange и их ранее используемым вредоносным ПО TriFive, которое использовалось в атаке на кувейтские правительственные организации. Считается, что PowerExchange является более сложной версией TriFive из-за кода, написанного в PowerShell, и использования запланированных задач и API EWS в качестве канала управления и контроля (C2). Фишинговые электронные письма также были идентифицированы как первоначальный вектор заражения, и эта группа ранее была связана с другими атаками в ОАЭ.