Novo malware PowerExchange cria backdoors em servidores Microsoft Exchange
25 de Maio de 2023

Um novo malware baseado em PowerShell, chamado PowerExchange, foi utilizado em ataques ligados aos hackers estatais iranianos APT34 para instalar uma backdoor nos servidores Microsoft Exchange locais.

Após infiltrar o servidor de e-mail por meio de um e-mail de phishing contendo um executável malicioso arquivado, os atores da ameaça implantaram um shell da web chamado ExchangeLeech (observado pela primeira vez pela equipe de resposta a incidentes Digital14 em 2020) que pode roubar credenciais de usuário.

A equipe de pesquisa de ameaças FortiGuard Labs descobriu a backdoor PowerExchange nos sistemas comprometidos de uma organização governamental dos Emirados Árabes Unidos.

Notavelmente, o malware se comunica com seu servidor de comando e controle (C2) por meio de e-mails enviados usando a API de Serviços Web do Exchange (EWS), enviando informações roubadas e recebendo comandos codificados em base64 por meio de anexos de texto em e-mails com o assunto "Atualizar o Microsoft Edge".

"Usar o servidor Exchange da vítima como canal C2 permite que a backdoor se misture ao tráfego benigno, garantindo assim que o ator da ameaça possa evitar facilmente quase todas as detecções e remediações baseadas em rede dentro e fora da infraestrutura da organização-alvo", disse a equipe de pesquisa de ameaças FortiGuard Labs.

A backdoor permite que seus operadores executem comandos para entregar payloads maliciosos adicionais nos servidores hackeados e exfiltrar arquivos colhidos.

Durante a investigação forense da rede, os pesquisadores também descobriram endpoints com backdoor adicionais com vários outros implantes maliciosos.

Entre eles, encontraram o shell da web ExchangeLeech, instalado como um arquivo chamado System.Web.ServiceAuthentication.dll que imitava convenções de nomenclatura de arquivo IIS legítimo.

O ExchangeLeech coleta os nomes de usuário e senhas daqueles que fazem login nos servidores Exchange comprometidos usando autenticação básica, monitorando o tráfego HTTP de texto claro e capturando as credenciais dos dados do formulário da web ou dos cabeçalhos HTTP.

Os atacantes podem instruir o shell da web a enviar o registro de credenciais por meio de parâmetros de cookie.

A FortiGuard Labs vinculou esses ataques ao grupo de hackers apoiado pelo Estado iraniano APT34 (também conhecido como Oilrig) com base em similaridades entre PowerExchange e o malware TriFive que eles usaram para instalar a backdoor nos servidores de organizações governamentais do Kuwait.

"Ambos os backdoors compartilham semelhanças impressionantes: são escritos em PowerShell, ativados por uma tarefa agendada periódica e o canal C2 aproveita o servidor Exchange da organização com a API EWS.

E embora seu código seja muito diferente, especulamos que o PowerExchange é uma nova e melhorada forma de TriFive", disseram os pesquisadores.

O APT34 também usa e-mails de phishing como vetor de infecção inicial em seus ataques e já invadiu outras entidades dos Emirados Árabes Unidos, de acordo com o relatório da Fortiguard Labs.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...