کشف بدافزار Power Exchange که سرور Exchange را هدف قرار می‌دهد.

بر اساس گزارش bleepingcomputer یک بدافزار جدید مبتنی بر PowerShell به نام PowerExchange در حملات مرتبط با هکرهای دولتی ایرانی موسوم به APT34 به سرورهای داخلی Microsoft Exchange مورداستفاده قرار گرفت.
بدافزار PowerExchange که بر پایه PowerShell است، در حملات مرتبط با هکرهای دولتی APT34 ایرانی برای ایجاد یک درب پشتی (Backdoor) مخفیانه، به سرورهای داخلی Microsoft Exchange مورداستفاده قرار گرفت.

بعد از نفوذ به سرور ایمیل از طریق یک ایمیل فیشینگ حاوی یک فایل اجرایی مخرب فشرده‌شده، هکرها از یک Web Sell به نام Exchange Leech که توسط تیم واکنش به حوادث Digital14 Incident Response در سال ۲۰۲۰ مشاهده شد، استفاده کردند که می‌تواند اطلاعات احراز هویت کاربران را به سرقت ببرد.

تیم تحقیقات تهدیدات FortiGuard Labs متوجه شد که بدافزار PowerExchange در سیستم‌های متأثر، یک سازمان دولتی امارات متحده عربی پیداشده است.

قابل‌ذکر است که، این بدافزار با استفاده از سرور فرمان و کنترل (C2) خود از طریق ایمیل‌هایی که با استفاده از رابط خدمات وب Exchange (EWS) ارسال می‌شوند، ارتباط برقرار می‌کند. و اطلاعات سرقت شده را ارسال کرده و دستوراتی که با استفاده از الحاقات متنی به ایمیل‌ها و با موضوع “به‌روزرسانی Microsoft Edge” کدگذاری شده به‌صورت Base64 دریافت می‌کند.

تیم تحقیقات تهدیدات FortiGuard Labs اظهار داشت: “استفاده از سرور Exchange قربانی، برای کانال C2 باعث می‌شود بدافزار به‌طور قابل‌توجهی با ترافیک معمولی تلفیق شود و درنتیجه، امکان دارد هکر به‌راحتی از تشخیص‌ها و رفع مشکلات بر پایه شبکه داخل و خارج از زیرساخت سازمان مورد هدف جلوگیری کند.”

با استفاده از بدافزار، اپراتورها قادر به اجرای دستورات هستند تا بارهای مخرب اضافی را بر روی سرورهای هک شده ارسال کنند و فایل‌های جمع‌آوری‌شده را به بیرون از سرورها انتقال دهند.

زنجیره آلودگی بدافزار PowerExchange (FortiGuard Labs)

در طول تحقیقات فارنزیک شبکه، محققان همچنین Backdoor دیگری با نصب‌های مخرب متنوع کشف کردند.

با توجه به تحقیقات، مشخص شد که این فایل مخرب بانامSystem.Web.ServiceAuthentication.dll نصب‌شده بود که الگوهای نام‌گذاری معتبر فایل‌های IIS را تقلید می‌کرد.
ExchangeLeech با نظارت ترافیک متنی واضح HTTP و ضبط اطلاعات مربوط به فرم‌های وب یا هدرهای HTTP، از طریق ترافیک متن‌باز HTTP، نام کاربری و رمز عبور افرادی که وارد سرورهای Exchange در معرض خطر می‌شوند را با استفاده احراز هویت اولیه جمع‌آوری می‌کند.

مهاجمان قادرند دستور دهند تا web shell اطلاعات ورود را از طریق پارامترهای کوکی (cookie) ارسال کند.
آزمایشگاه FortiGuard این حملات را بر اساس شباهت‌های بین PowerExchange و بدافزار TriFive که برای ورود به سرورهای سازمان‌های دولتی کویت استفاده می‌کردند، به گروه هک دولتی APT34 (معروف به Oilrig) مرتبط کرد.

به گفته محققان:

“هر دو Backdoor ویژگی‌های مشابهی دارند: آن‌ها با استفاده از PowerShell نوشته‌شده‌اند، توسط وظیفهٔ زمان‌بندی دوره‌ای فعال می‌شوند و کانال C2 از طریق سرور Exchange سازمان با استفاده از رابط برنامه‌نویسی ابزارهای وب (EWS API) بهره می‌برند. و بااینکه کدهای آن‌ها بسیار متفاوت هستند، ما فرض می‌کنیم که PowerExchange یک نسخه جدید و بهبودیافته از TriFive است”.
بر اساس گزارش Fortiguard Labs، گروه هکری APT34 نیز در حملات خود از ایمیل‌های فیشینگ به‌عنوان آلودگی اولیه برای نفوذ استفاده می‌کند و قبلاً به سایر نهادهای امارات متحده نیز نفوذ کرده است.