PowerExchange-Malware
Bei Angriffen ist eine neu identifizierte Schadsoftware namens PowerExchange aufgetaucht. Diese neuartige Hintertür verwendet PowerShell als primäre Skriptsprache. Die Malware wurde verwendet, um Hintertüren auf den Microsoft Exchange-Servern vor Ort einzurichten. Die Angriffsvorfälle im Zusammenhang mit der Bedrohung könnten mit den iranischen Staatshackern APT34 (Advanced Persistent Threat) in Zusammenhang stehen.
Der von den Bedrohungsakteuren eingesetzte Angriffsvektor bestand darin, den anvisierten Mailserver über eine Phishing-E-Mail zu infiltrieren. Die E-Mail enthielt ein komprimiertes Archiv mit einer manipulierten ausführbaren Datei. Nach der Ausführung wurde PowerExchange bereitgestellt, wodurch die Hacker unbefugten Zugriff und Kontrolle über die kompromittierten Microsoft Exchange-Server erlangten. Als nächstes nutzen die Bedrohungsakteure auch eine Web-Shell mit der Bezeichnung ExchangeLeech, die erstmals im Jahr 2020 aufgedeckt wurde und es ihnen ermöglicht, sensible Daten zu exfiltrieren, wobei der Schwerpunkt vor allem auf dem Diebstahl von Benutzeranmeldeinformationen liegt, die auf den kompromittierten Microsoft Exchange-Servern gespeichert sind.
Die Verwendung der PowerExchange-Malware in Verbindung mit der ExchangeLeech-Web-Shell demonstriert die ausgefeilten Taktiken, die APT34 bei seinen Bedrohungsaktivitäten anwendet. Die PowerExchange-Hintertür wurde von einem Forschungsteam auf den kompromittierten Systemen einer Regierungsorganisation mit Sitz in den Vereinigten Arabischen Emiraten entdeckt.
Inhaltsverzeichnis
Die PowerExchange-Malware nutzt den Exchange-Server des Opfers aus
Die PowerExchange-Malware stellt eine Kommunikation mit dem Command-and-Control (C2)-Server des Angriffsvorgangs her. Es nutzt E-Mails, die über die Exchange Web Services (EWS)-API gesendet werden, und nutzt Textanhänge in diesen E-Mails, um gesammelte Informationen zu senden und Base64-codierte Befehle zu empfangen. Diese E-Mails versuchen, eine zusätzliche Prüfung durch das Opfer zu vermeiden, indem sie die Betreffzeile „Update Microsoft Edge“ enthalten.
Die Nutzung des Exchange-Servers des Opfers als C2-Kanal ist eine bewusste Strategie der Bedrohungsakteure. Dieser Ansatz ermöglicht es der Hintertür, sich in den legitimen Datenverkehr einzumischen, was es für netzwerkbasierte Erkennungs- und Behebungsmechanismen äußerst schwierig macht, die Bedrohung zu erkennen und abzuschwächen. Durch die Tarnung ihrer Aktivitäten innerhalb der Infrastruktur der Organisation können die Bedrohungsakteure effektiv einer Entdeckung entgehen und eine verdeckte Präsenz aufrechterhalten.
Die PowerExchange-Hintertür bietet den Betreibern umfassende Kontrolle über die kompromittierten Server. Es ermöglicht ihnen, verschiedene Befehle auszuführen, einschließlich der Bereitstellung zusätzlicher bedrohlicher Nutzlasten auf den kompromittierten Servern und der Exfiltration geernteter Dateien. Diese Vielseitigkeit ermöglicht es den Bedrohungsakteuren, ihre Reichweite zu vergrößern und weitere schädliche Aktivitäten innerhalb der gefährdeten Umgebung durchzuführen.
Im Rahmen der PowerExchange-Backdoor-Angriffe werden weitere bedrohliche Implantate eingesetzt
Es wurden auch weitere kompromittierte Endpunkte identifiziert, die verschiedene andere unsichere Implantate enthielten. Eines der entdeckten Implantate war insbesondere die ExchangeLeech-Web-Shell, die als Datei mit dem Namen System.Web.ServiceAuthentication.dll getarnt war und die Namenskonventionen übernahm, die normalerweise mit legitimen IIS-Dateien verbunden sind.
ExchangeLeech sammelt aktiv vertrauliche Informationen und zielt dabei insbesondere auf die Benutzernamen und Passwörter von Personen ab, die sich mithilfe der Basisauthentifizierung bei den kompromittierten Exchange-Servern anmelden. Dies wird durch die Fähigkeit der Web-Shell erreicht, HTTP-Verkehr im Klartext zu überwachen und Anmeldeinformationen aus Webformulardaten oder HTTP-Headern zu erfassen.
Um die kompromittierten Server weiter auszunutzen, können die Angreifer die Web-Shell anweisen, die gesammelten Anmeldeinformationsprotokolle über Cookie-Parameter zu übertragen. Dies ermöglicht es ihnen, die erbeuteten Zugangsdaten heimlich herauszuschleusen, ohne Verdacht zu erregen.
Die PowerExchange-Angriffe werden der Hackergruppe APT34 zugeschrieben
Die PowerExchange-Angriffe wurden der staatlich geförderten iranischen Hackergruppe APT34 oder Oilrig zugeschrieben. Die Forscher stellten diesen Zusammenhang her, indem sie auffällige Ähnlichkeiten zwischen der PowerExchange-Malware und der TriFive-Malware identifizierten, die zuvor von APT34 verwendet wurde, um Hintertüren auf den Servern kuwaitischer Regierungsorganisationen einzurichten.
Sowohl PowerExchange als auch TriFive weisen bemerkenswerte Ähnlichkeiten auf. Sie basieren beide auf PowerShell, werden durch geplante Aufgaben aktiviert und nutzen den Exchange-Server des Unternehmens mithilfe der EWS-API als C2-Kanal. Obwohl sich der Code dieser Hintertüren deutlich unterscheidet, spekulieren die Forscher, dass PowerExchange eine weiterentwickelte und verbesserte Version der TriFive-Malware darstellt.
Darüber hinaus ist es erwähnenswert, dass APT34 bei seinen Angriffen konsequent Phishing-E-Mails als Erstinfektionsvektor einsetzt. Indem APT34 Opfer dazu verleitet, mit unsicheren Inhalten zu interagieren oder auf beschädigte Links in diesen E-Mails zu klicken, verschafft sich APT34 Zugang in der Zielumgebung und ermöglicht es ihnen, ihre bedrohlichen Aktivitäten fortzusetzen. Die Tatsache, dass APT34 zuvor andere Unternehmen in den Vereinigten Arabischen Emiraten angegriffen hat, ergänzt die Beweise, die sie mit diesen Angriffen in Verbindung bringen.
