Logiciel malveillant PowerExchange
Un logiciel malveillant nouvellement identifié nommé PowerExchange est apparu dans les opérations d'attaque. Cette nouvelle porte dérobée utilise PowerShell comme langage de script principal. Le logiciel malveillant a été utilisé pour établir des portes dérobées sur les serveurs Microsoft Exchange sur site. Les incidents d'attaque impliquant la menace pourraient être liés aux pirates informatiques de l'État iranien APT34 (Advanced Persistent Threat).
Le vecteur d'attaque utilisé par les acteurs de la menace consistait à infiltrer le serveur de messagerie ciblé via un e-mail de phishing. L'e-mail contenait une archive compressée contenant un exécutable compromis. Une fois exécuté, PowerExchange a été déployé, permettant aux pirates d'obtenir un accès non autorisé et un contrôle sur les serveurs Microsoft Exchange compromis. Ensuite, les acteurs de la menace utilisent également un shell Web suivi sous le nom d'ExchangeLeech, qui a été découvert pour la première fois en 2020, leur permettant d'exfiltrer des données sensibles, en se concentrant principalement sur le vol des informations d'identification des utilisateurs stockées dans les serveurs Microsoft Exchange compromis.
L'utilisation du malware PowerExchange, en conjonction avec le shell Web ExchangeLeech, démontre les tactiques sophistiquées employées par APT34 dans leurs activités menaçantes. La porte dérobée PowerExchange a été découverte par une équipe de recherche sur les systèmes compromis d'une organisation gouvernementale basée aux Émirats arabes unis.
Table des matières
Le logiciel malveillant PowerExchange exploite le serveur Exchange de la victime
Le logiciel malveillant PowerExchange établit une communication avec le serveur Command-and-Control (C2) de l'opération d'attaque. Il exploite les e-mails envoyés via l'API Exchange Web Services (EWS), en utilisant des pièces jointes de texte dans ces e-mails pour envoyer les informations collectées et recevoir des commandes encodées en base64. Ces e-mails tentent d'éviter d'attirer un examen supplémentaire de la part de la victime en portant la ligne d'objet "Mettre à jour Microsoft Edge".
L'utilisation du serveur Exchange de la victime comme canal C2 est une stratégie délibérée employée par les acteurs de la menace. Cette approche permet à la porte dérobée de se fondre dans le trafic légitime, ce qui rend extrêmement difficile pour les mécanismes de détection et de correction basés sur le réseau d'identifier et d'atténuer la menace. En camouflant ses activités au sein de l'infrastructure de l'organisation, les acteurs de la menace peuvent efficacement éviter d'être détectés et maintenir une présence secrète.
La porte dérobée PowerExchange offre aux opérateurs un contrôle étendu sur les serveurs compromis. Il leur permet d'exécuter diverses commandes, y compris la livraison de charges utiles menaçantes supplémentaires sur les serveurs compromis et l'exfiltration des fichiers récoltés. Cette polyvalence permet aux acteurs de la menace d'étendre leur portée et de mener d'autres activités nuisibles dans l'environnement compromis.
Des implants menaçants supplémentaires sont déployés dans le cadre des attaques par porte dérobée PowerExchange
D'autres critères d'évaluation compromis contenant divers autres implants dangereux ont également été identifiés. Notamment, l'un des implants découverts était le shell Web ExchangeLeech, qui avait été déguisé en un fichier nommé System.Web.ServiceAuthentication.dll, adoptant les conventions de dénomination généralement associées aux fichiers IIS légitimes.
ExchangeLeech fonctionne en collectant activement des informations sensibles, ciblant spécifiquement les noms d'utilisateur et les mots de passe des personnes qui se connectent aux serveurs Exchange compromis à l'aide d'une authentification de base. Ceci est réalisé grâce à la capacité du shell Web à surveiller le trafic HTTP en texte clair et à capturer les informations d'identification à partir des données de formulaire Web ou des en-têtes HTTP.
Pour exploiter davantage les serveurs compromis, les attaquants peuvent demander au shell Web de transmettre les journaux d'informations d'identification collectés via les paramètres des cookies. Cela leur permet d'exfiltrer secrètement les informations d'identification capturées sans éveiller les soupçons.
Les attaques PowerExchange sont attribuées au groupe APT34 Hacker
Les attaques PowerExchange ont été attribuées au groupe de piratage parrainé par l'État iranien connu sous le nom d'APT34 ou Oilrig. Les chercheurs ont établi ce lien en identifiant des similitudes frappantes entre le malware PowerExchange et le malware TriFive précédemment utilisé par APT34 pour établir des portes dérobées au sein des serveurs des organisations gouvernementales koweïtiennes.
PowerExchange et TriFive présentent des ressemblances notables. Ils sont tous deux basés sur PowerShell, activés via des tâches planifiées, et exploitent le serveur Exchange de l'organisation en utilisant l'API EWS comme canal C2. Bien que le code de ces portes dérobées soit clairement différent, les chercheurs supposent que PowerExchange représente une itération évoluée et améliorée du malware TriFive.
En outre, il convient de mentionner qu'APT34 utilise systématiquement les e-mails de phishing comme vecteur d'infection initial de ses opérations d'attaque. En incitant les victimes à interagir avec du contenu dangereux ou en cliquant sur des liens corrompus dans ces e-mails, APT34 prend pied dans l'environnement ciblé, leur permettant de poursuivre leurs activités menaçantes. Le fait qu'APT34 ait déjà violé d'autres entités aux Émirats arabes unis ajoute aux preuves les liant à ces attaques.
