Malware berbasis PowerShell baru yang dijuluki PowerExchange digunakan dalam serangan yang terkait dengan APT34 peretas negara Iran ke backdoor server Microsoft Exchange di tempat.
Setelah menyusup ke server email melalui email phishing yang berisi file executable berbahaya yang diarsipkan, pelaku ancaman menyebarkan web shell bernama ExchangeLeech (pertama kali diamati oleh tim Digital14 Incident Response). pada tahun 2020) yang dapat mencuri kredensial pengguna.
Tim Riset Ancaman Lab FortiGuard menemukan pintu belakang PowerExchange pada sistem organisasi pemerintah Uni Emirat Arab yang disusupi.
Khususnya, malware berkomunikasi dengan server command-and-control (C2) melalui email yang dikirim menggunakan Exchange Web Services (EWS) API, mengirimkan info curian dan menerima perintah berenkode base64 melalui lampiran teks ke email dengan “Update Microsoft Edge” subjek.
“Menggunakan server Exchange korban untuk saluran C2 memungkinkan pintu belakang untuk berbaur dengan lalu lintas jinak, sehingga memastikan bahwa pelaku ancaman dapat dengan mudah menghindari hampir semua deteksi dan remediasi berbasis jaringan di dalam dan di luar infrastruktur organisasi target,” FortiGuard Labs Threat Tim peneliti dikatakan.
Pintu belakang memungkinkan operatornya untuk menjalankan perintah untuk mengirimkan muatan jahat tambahan pada server yang diretas dan untuk mengekstraksi file yang diambil.
Selama penyelidikan forensik jaringan, para peneliti juga menemukan titik akhir backdoor tambahan dengan berbagai implan berbahaya lainnya.
Di antara mereka, mereka menemukan shell web ExchangeLeech, diinstal sebagai file bernama System.Web.ServiceAuthentication.dll yang meniru konvensi penamaan file IIS yang sah.
ExchangeLeech mengumpulkan nama pengguna dan kata sandi dari mereka yang masuk ke server Exchange yang disusupi menggunakan otentikasi dasar dengan memantau lalu lintas HTTP teks yang jelas dan menangkap kredensial dari data formulir web atau header HTTP.
Penyerang dapat menginstruksikan shell web untuk mengirim log kredensial melalui parameter cookie.
FortiGuard Labs menghubungkan serangan ini dengan grup peretas yang didukung negara Iran APT34 (alias Oilrig) berdasarkan kesamaan antara PowerExchange dan malware TriFive mereka biasa membuka pintu belakang server organisasi pemerintah Kuwait.
“Kedua pintu belakang berbagi kesamaan yang mencolok: keduanya ditulis dalam PowerShell, diaktifkan oleh tugas terjadwal berkala, dan saluran C2 memanfaatkan server Exchange organisasi dengan EWS API. Dan meskipun kode mereka jauh berbeda, kami berspekulasi bahwa PowerExchange adalah yang baru dan lebih baik bentuk TriFive,” kata para peneliti.
APT34 juga menggunakan email phishing sebagai vektor infeksi awal dalam serangan mereka dan sebelumnya telah menembus entitas UEA lainnya, menurut laporan Fortiguard Labs.
