PowerExchange Malware riktar sig till myndigheter i Förenade Arabemiraten

En ny form av skadlig programvara har identifierats, kallad PowerExchange, som tros ha använts av den iranska statsstödda hackergruppen APT34, även känd som Oilrig.

Denna PowerShell-baserade skadliga programvara användes i en attack mot en regeringsorganisation i Förenade Arabemiraten och tillåter angripare att backdoor Microsoft Exchange-servrar. Det fungerar genom att skicka e-postmeddelanden med Exchange Web Services API, med base64-kodade kommandon skickade som bilagor och ämnesraden "Uppdatera Microsoft Edge". Det är också kapabelt att leverera ytterligare skadliga nyttolaster till servern och exfiltrera skördade filer. Denna form av skadlig programvara har kopplats till andra attacker av APT34, eftersom de har använt liknande nätfisketaktik, som att skicka skadliga körbara filer i arkiverade e-postmeddelanden.

Dessutom visade sig skadlig programvara ha likheter med TriFive, som användes i en attack mot kuwaitiska regeringsorganisationer. Man tror att PowerExchange är en ny och förbättrad version av TriFive.

PowerExchanges möjligheter

Den skadliga programvaran kan också samla in användarnamn och lösenord från de som loggar in på de utsatta Exchange-servrarna genom grundläggande autentisering. Detta görs genom att övervaka HTTP-trafik med klartext och fånga inloggningsuppgifter från webbformulärdata eller HTTP-rubriker. Den kan sedan instrueras att skicka den loggade autentiseringsinformationen som cookieparametrar.

Vid sidan av andra skadliga implantat upptäckte forskarna också ett webbskal kallat Exchange Leech som installerades som en fil med namnet System.Web.ServiceAuthentication.dll, men som efterliknade den legitima IIS-filnamnskonventionen.

Under sin undersökning identifierade forskarna också ett antal bakdörrar, inklusive ExchangeLeech, som var förklädd till en legitim IIS-fil. Det fungerar genom att samla in lösenord och användarnamn för de som loggar in via grundläggande autentisering genom att övervaka HTTP-trafik med klartext. Dessa referenser skickas sedan ut till angriparen via cookieparametrar.

Attacken är kopplad till APT34 på grund av likheterna mellan PowerExchange och deras tidigare använda TriFive malware, som användes i en attack mot kuwaitiska regeringsorganisationer. Man tror att PowerExchange är en mer sofistikerad version av TriFive, på grund av att koden skrivs i PowerShell och deras användning av schemalagda uppgifter och EWS API som en kommando-och-kontroll-kanal (C2). Nätfiske-e-post har också identifierats som en initial infektionsvektor, och gruppen har tidigare kopplats till andra UAE-baserade attacker.