Mã độc PowerExchange mới dựa trên PowerShell được phát hiện đã được sử dụng trong các cuộc tấn công của nhóm tin tặc nhà nước Iran APT34 để tạo backdoor trên các máy chủ Microsoft Exchange.
Sau khi xâm nhập vào máy chủ qua một email lừa đảo chứa tệp tin thực thi độc hại, tin tặc triển khai một web shell có tên ExchangeLeech để lấy cắp thông tin đăng nhập của người dùng. ExchangeLeech được phát hiện lần đầu tiên bởi nhóm Phản ứng sự cố Digital14 vào năm 2020.
Các nhà nghiên cứu từ FortiGuard Labs đã phát hiện backdoor PowerExchange trên các hệ thống bị xâm nhập của một tổ chức chính phủ Các Tiểu vương quốc Ả Rập Thống nhất.
Đáng chú ý, mã độc giao tiếp với máy chủ C2 của nó thông qua email được gửi bằng API Exchange Web Services (EWS), gửi thông tin đã đánh cắp và nhận các lệnh được mã hóa base64 thông qua các tệp văn bản đính kèm trong email với tiêu đề “Update Microsoft Edge”.
Theo các nhà nghiên cứu của FortiGuard Labs: “Backdoor sử dụng máy chủ Exchange của nạn nhân để giao tiếp với C2 nên dữ liệu truy cập trộn lẫn với các lưu lượng truy cập thông thường, giúp tin tặc tránh được hầu hết các biện pháp phát hiện và khắc phục dựa trên mạng bên trong và bên ngoài cơ sở hạ tầng của tổ chức mục tiêu”.
Backdoor này cho phép tin tặc điều khiển lệnh để cài đặt thêm các payload độc hại trên các máy chủ đã bị xâm nhập và trích xuất các tệp đã thu thập được.
Trong quá trình phân tích, các nhà nghiên cứu cũng đã phát hiện thêm các endpoint bị xâm nhập với nhiều mã độc khác, trong đó bao gồm cả ExchangeLeech – một web shell được cài đặt dưới dạng tệp có tên System.Web.ServiceAuthentication.dll, giả mạo các quy ước đặt tên tệp IIS hợp pháp.
ExchangeLeech sẽ thu thập tên người dùng và mật khẩu của những người đăng nhập vào máy chủ Exchange bị xâm nhập bằng cách theo dõi lưu lượng HTTP dạng clear text và thu thập thông tin xác thực từ dữ liệu biểu mẫu web hoặc tiêu đề HTTP. Tin tặc có thể sử dụng ExchangeLeech để gửi nhật ký thông tin xác thực thông qua các tham số cookie.
FortiGuard Labs đã nhận định những cuộc tấn công này có liên quan đến nhóm hacker có hậu thuẫn từ nhà nước Iran là APT34 (còn được gọi là Oilrig), dựa trên sự tương đồng giữa PowerExchange và phần mềm độc hại TriFive mà họ đã sử dụng để tạo backdoor trên các máy chủ của các tổ chức chính phủ Kuwait.
Cả hai backdoor đều được viết bằng PowerShell, được thực thi định kỳ bằng scheduled task, C2 khai thác và giao tiếp thông qua API EWS máy chủ Exchange của tổ chức.
Theo báo cáo của Fortiguard Labs, APT34 cũng sử dụng email lừa đảo làm công cụ lây nhiễm ban đầu trong các cuộc tấn công và trước đó đã xâm nhập các tổ chức khác của UAE.
Nguồn: Bleeping Computer