Um novo malware baseado em PowerShell, chamado PowerExchange, foi utilizado em ataques ligados aos hackers estatais iranianos APT34 para instalar uma backdoor nos servidores Microsoft Exchange locais.
Após infiltrar o servidor de e-mail por meio de um e-mail de phishing contendo um executável malicioso arquivado, os atores da ameaça implantaram um shell da web chamado ExchangeLeech (observado pela primeira vez pela equipe de resposta a incidentes Digital14 em 2020) que pode roubar credenciais de usuário.
A equipe de pesquisa de ameaças FortiGuard Labs descobriu a backdoor PowerExchange nos sistemas comprometidos de uma organização governamental dos Emirados Árabes Unidos.
Notavelmente, o malware se comunica com seu servidor de comando e controle (C2) por meio de e-mails enviados usando a API de Serviços Web do Exchange (EWS), enviando informações roubadas e recebendo comandos codificados em base64 por meio de anexos de texto em e-mails com o assunto "Atualizar o Microsoft Edge".
"Usar o servidor Exchange da vítima como canal C2 permite que a backdoor se misture ao tráfego benigno, garantindo assim que o ator da ameaça possa evitar facilmente quase todas as detecções e remediações baseadas em rede dentro e fora da infraestrutura da organização-alvo", disse a equipe de pesquisa de ameaças FortiGuard Labs.
A backdoor permite que seus operadores executem comandos para entregar payloads maliciosos adicionais nos servidores hackeados e exfiltrar arquivos colhidos.
Durante a investigação forense da rede, os pesquisadores também descobriram endpoints com backdoor adicionais com vários outros implantes maliciosos.
Entre eles, encontraram o shell da web ExchangeLeech, instalado como um arquivo chamado System.Web.ServiceAuthentication.dll que imitava convenções de nomenclatura de arquivo IIS legítimo.
O ExchangeLeech coleta os nomes de usuário e senhas daqueles que fazem login nos servidores Exchange comprometidos usando autenticação básica, monitorando o tráfego HTTP de texto claro e capturando as credenciais dos dados do formulário da web ou dos cabeçalhos HTTP.
Os atacantes podem instruir o shell da web a enviar o registro de credenciais por meio de parâmetros de cookie.
A FortiGuard Labs vinculou esses ataques ao grupo de hackers apoiado pelo Estado iraniano APT34 (também conhecido como Oilrig) com base em similaridades entre PowerExchange e o malware TriFive que eles usaram para instalar a backdoor nos servidores de organizações governamentais do Kuwait.
"Ambos os backdoors compartilham semelhanças impressionantes: são escritos em PowerShell, ativados por uma tarefa agendada periódica e o canal C2 aproveita o servidor Exchange da organização com a API EWS.
E embora seu código seja muito diferente, especulamos que o PowerExchange é uma nova e melhorada forma de TriFive", disseram os pesquisadores.
O APT34 também usa e-mails de phishing como vetor de infecção inicial em seus ataques e já invadiu outras entidades dos Emirados Árabes Unidos, de acordo com o relatório da Fortiguard Labs.