Neimenovani vladin entitet povezan s Ujedinjenim Arapskim Emiratima (UAE) bio je na meti iranskog hakera, kroz Microsoft Exchange Server pomoću “jednostavnog, ali djelotvornog” backdoor-a nazvanog PowerExchange.
Prema novom izvještaju Fortinet FortiGuard Labs-a, napad se oslanjao na email krađu kao početni pristupni put, što je dovelo do izvršenja .NET izvršne datoteke sadržane u prilogu ZIP datoteke.
Binarni, koji se maskira kao PDF dokument, funkcioniše kao dropper za izvršavanje konačnog payload-a, koji zatim pokreće backdoor.
PowerExchange, napisan u PowerShell-u, koristi tekstualne datoteke priložene email-ovima za komunikaciju naredbe i kontrole (C2). Omogućava hakeru da pokreće proizvoljne payload-ove i prenosi i preuzima datoteke sa i na sistem.
Prilagođeni implant to postiže korišćenjem API-a Exchange Web Services (EWS) za povezivanje sa Exchange serverom žrtve i koristi poštansko sanduče na serveru za slanje i primanje kodiranih komandi od svog operatera.
“Exchange Server je dostupan sa interneta, čuvajući C2 komunikaciju sa eksternim serverima sa uređaja u organizacijama” kažu istraživači Fortinet-a. “Takođe djeluje kao proxy za napadača da se maskira.”
Uz to, trenutno nije poznato kako je haker uspio dobiti kredencijale domene za povezivanje na ciljni Exchange Server.
Fortinet-ova istraga je takođe otkrila Exchange servere koji su imali backdoor sa nekoliko web shell-ova, od kojih se jedna zove ExchangeLeech (aka System.Web.ServiceAuthentication.dll), kako bi se postigao uporan daljinski pristup i ukrali korisnički kredencijali.
Sumnja se da je PowerExchange nadograđena verzija TriFive-a, koju je ranije koristio iranski haker APT34 (aka OilRig) u napadima na vladine organizacije u Kuvajtu.
Nadalje, komunikacija putem Exchange servera okrenutih prema internetu je isprobana taktika koju su usvojili hakeri OilRig-a, kao što je primjećeno u slučaju Karkoff-a i MrPerfectionManager-a.
„Korišćenje Exchange servera žrtve za C2 kanal omogućava da se backdoor stopi sa benignim saobraćajem, čime se osigurava da haker može lako da izbegne skoro sve detekcije i popravke zasnovane na mreži unutar i izvan infrastrukture ciljne organizacije“ rekli su istraživači.
Izvor: The Hacker News