PowerExchange 惡意軟件以阿聯酋政府機構為目標
一種名為 PowerExchange 的新型惡意軟件已被發現,據信伊朗國家支持的黑客組織 APT34(也稱為 Oilrig)使用了該軟件。
這種基於 PowerShell 的惡意軟件曾用於對阿拉伯聯合酋長國政府組織的攻擊,並允許攻擊者為 Microsoft Exchange 服務器設置後門。它的工作原理是使用 Exchange Web 服務 API 發送電子郵件,將 base64 編碼的命令作為附件和“更新 Microsoft Edge”主題行發送。它還能夠向服務器傳送額外的惡意負載並洩露收集到的文件。這種形式的惡意軟件與 APT34 的其他攻擊有關,因為它們使用了類似的網絡釣魚策略,例如在存檔電子郵件中發送惡意可執行文件。
此外,該惡意軟件被發現與用於攻擊科威特政府組織的 TriFive 有相似之處。人們認為 PowerExchange 是 TriFive 的新改進版本。
PowerExchange 的能力
惡意軟件還能夠從那些通過基本身份驗證登錄到受感染 Exchange 服務器的用戶那裡收集用戶名和密碼。這是通過監控明文 HTTP 流量並從網絡表單數據或 HTTP 標頭中捕獲憑據來完成的。然後可以指示它發送記錄的憑證信息作為 cookie 參數。
除了其他惡意植入程序,研究人員還發現了一個名為 Exchange Leech 的 Web shell,它被安裝為一個名為 System.Web.ServiceAuthentication.dll 的文件,但模仿了合法的 IIS 文件命名約定。
在調查過程中,研究人員還發現了一些後門程序,包括偽裝成合法 IIS 文件的 ExchangeLeech。它的工作原理是通過監視明文 HTTP 流量來收集通過基本身份驗證登錄的用戶的密碼和用戶名。這些憑據然後通過 cookie 參數發送給攻擊者。
由於 PowerExchange 與他們之前使用的 TriFive 惡意軟件之間的相似性,該攻擊與 APT34 相關聯,後者曾用於對科威特政府組織的攻擊。人們認為 PowerExchange 是 TriFive 的更複雜版本,因為代碼是用 PowerShell 編寫的,並且使用計劃任務和 EWS API 作為命令和控制 (C2) 通道。網絡釣魚電子郵件也被確定為最初的感染媒介,該組織此前曾與其他基於阿聯酋的攻擊有關。