PowerExchange 惡意軟件以阿聯酋政府機構為目標

一種名為 PowerExchange 的新型惡意軟件已被發現，據信伊朗國家支持的黑客組織 APT34（也稱為 Oilrig）使用了該軟件。

這種基於 PowerShell 的惡意軟件曾用於對阿拉伯聯合酋長國政府組織的攻擊，並允許攻擊者為 Microsoft Exchange 服務器設置後門。它的工作原理是使用 Exchange Web 服務 API 發送電子郵件，將 base64 編碼的命令作為附件和“更新 Microsoft Edge”主題行發送。它還能夠向服務器傳送額外的惡意負載並洩露收集到的文件。這種形式的惡意軟件與 APT34 的其他攻擊有關，因為它們使用了類似的網絡釣魚策略，例如在存檔電子郵件中發送惡意可執行文件。

此外，該惡意軟件被發現與用於攻擊科威特政府組織的 TriFive 有相似之處。人們認為 PowerExchange 是 TriFive 的新改進版本。

PowerExchange 的能力

惡意軟件還能夠從那些通過基本身份驗證登錄到受感染 Exchange 服務器的用戶那裡收集用戶名和密碼。這是通過監控明文 HTTP 流量並從網絡表單數據或 HTTP 標頭中捕獲憑據來完成的。然後可以指示它發送記錄的憑證信息作為 cookie 參數。

除了其他惡意植入程序，研究人員還發現了一個名為 Exchange Leech 的 Web shell，它被安裝為一個名為 System.Web.ServiceAuthentication.dll 的文件，但模仿了合法的 IIS 文件命名約定。

在調查過程中，研究人員還發現了一些後門程序，包括偽裝成合法 IIS 文件的 ExchangeLeech。它的工作原理是通過監視明文 HTTP 流量來收集通過基本身份驗證登錄的用戶的密碼和用戶名。這些憑據然後通過 cookie 參數發送給攻擊者。

由於 PowerExchange 與他們之前使用的 TriFive 惡意軟件之間的相似性，該攻擊與 APT34 相關聯，後者曾用於對科威特政府組織的攻擊。人們認為 PowerExchange 是 TriFive 的更複雜版本，因為代碼是用 PowerShell 編寫的，並且使用計劃任務和 EWS API 作為命令和控制 (C2) 通道。網絡釣魚電子郵件也被確定為最初的感染媒介，該組織此前曾與其他基於阿聯酋的攻擊有關。