Novo malware PowerExchange cria backdoors em servidores Microsoft Exchange
25 de Maio de 2023 às 10:11

Um novo malware baseado em PowerShell, chamado PowerExchange, foi utilizado em ataques ligados aos hackers estatais iranianos APT34 para instalar uma backdoor nos servidores Microsoft Exchange locais.

Após infiltrar o servidor de e-mail por meio de um e-mail de phishing contendo um executável malicioso arquivado, os atores da ameaça implantaram um shell da web chamado ExchangeLeech (observado pela primeira vez pela equipe de resposta a incidentes Digital14 em 2020) que pode roubar credenciais de usuário.

A equipe de pesquisa de ameaças FortiGuard Labs descobriu a backdoor PowerExchange nos sistemas comprometidos de uma organização governamental dos Emirados Árabes Unidos.

Notavelmente, o malware se comunica com seu servidor de comando e controle (C2) por meio de e-mails enviados usando a API de Serviços Web do Exchange (EWS), enviando informações roubadas e recebendo comandos codificados em base64 por meio de anexos de texto em e-mails com o assunto "Atualizar o Microsoft Edge".

"Usar o servidor Exchange da vítima como canal C2 permite que a backdoor se misture ao tráfego benigno, garantindo assim que o ator da ameaça possa evitar facilmente quase todas as detecções e remediações baseadas em rede dentro e fora da infraestrutura da organização-alvo", disse a equipe de pesquisa de ameaças FortiGuard Labs.

A backdoor permite que seus operadores executem comandos para entregar payloads maliciosos adicionais nos servidores hackeados e exfiltrar arquivos colhidos.

Durante a investigação forense da rede, os pesquisadores também descobriram endpoints com backdoor adicionais com vários outros implantes maliciosos.

Entre eles, encontraram o shell da web ExchangeLeech, instalado como um arquivo chamado System.Web.ServiceAuthentication.dll que imitava convenções de nomenclatura de arquivo IIS legítimo.

O ExchangeLeech coleta os nomes de usuário e senhas daqueles que fazem login nos servidores Exchange comprometidos usando autenticação básica, monitorando o tráfego HTTP de texto claro e capturando as credenciais dos dados do formulário da web ou dos cabeçalhos HTTP.

Os atacantes podem instruir o shell da web a enviar o registro de credenciais por meio de parâmetros de cookie.

A FortiGuard Labs vinculou esses ataques ao grupo de hackers apoiado pelo Estado iraniano APT34 (também conhecido como Oilrig) com base em similaridades entre PowerExchange e o malware TriFive que eles usaram para instalar a backdoor nos servidores de organizações governamentais do Kuwait.

"Ambos os backdoors compartilham semelhanças impressionantes: são escritos em PowerShell, ativados por uma tarefa agendada periódica e o canal C2 aproveita o servidor Exchange da organização com a API EWS.

E embora seu código seja muito diferente, especulamos que o PowerExchange é uma nova e melhorada forma de TriFive", disseram os pesquisadores.

O APT34 também usa e-mails de phishing como vetor de infecção inicial em seus ataques e já invadiu outras entidades dos Emirados Árabes Unidos, de acordo com o relatório da Fortiguard Labs.