PowerExchange 恶意软件以阿联酋政府机构为目标

一种名为 PowerExchange 的新型恶意软件已被发现，据信伊朗国家支持的黑客组织 APT34（也称为 Oilrig）使用了该软件。

这种基于 PowerShell 的恶意软件曾用于对阿拉伯联合酋长国政府组织的攻击，并允许攻击者为 Microsoft Exchange 服务器设置后门。它的工作原理是使用 Exchange Web 服务 API 发送电子邮件，将 base64 编码的命令作为附件和“更新 Microsoft Edge”主题行发送。它还能够向服务器传送额外的恶意负载并泄露收集到的文件。这种形式的恶意软件与 APT34 的其他攻击有关，因为它们使用了类似的网络钓鱼策略，例如在存档电子邮件中发送恶意可执行文件。

此外，该恶意软件被发现与用于攻击科威特政府组织的 TriFive 有相似之处。人们认为 PowerExchange 是 TriFive 的新改进版本。

PowerExchange 的能力

恶意软件还能够从那些通过基本身份验证登录到受感染 Exchange 服务器的用户那里收集用户名和密码。这是通过监控明文 HTTP 流量并从网络表单数据或 HTTP 标头中捕获凭据来完成的。然后可以指示它发送记录的凭证信息作为 cookie 参数。

除了其他恶意植入程序，研究人员还发现了一个名为 Exchange Leech 的 Web shell，它被安装为一个名为 System.Web.ServiceAuthentication.dll 的文件，但模仿了合法的 IIS 文件命名约定。

在调查过程中，研究人员还发现了一些后门程序，包括伪装成合法 IIS 文件的 ExchangeLeech。它的工作原理是通过监视明文 HTTP 流量来收集通过基本身份验证登录的用户的密码和用户名。这些凭据然后通过 cookie 参数发送给攻击者。

由于 PowerExchange 与他们之前使用的 TriFive 恶意软件之间的相似性，该攻击与 APT34 相关联，后者曾用于对科威特政府组织的攻击。人们认为 PowerExchange 是 TriFive 的更复杂版本，因为代码是用 PowerShell 编写的，并且使用计划任务和 EWS API 作为命令和控制 (C2) 通道。网络钓鱼电子邮件也被确定为最初的感染媒介，该组织此前曾与其他基于阿联酋的攻击有关。