Ένα νέο κακόβουλο λογισμικό που βασίζεται σε PowerShell με το όνομα PowerExchange χρησιμοποιήθηκε σε επιθέσεις που συνδέονται με κρατικούς χάκερ του Ιράν APT34 σε κερκόπορτες διακομιστές Microsoft Exchange.
Αφού διείσδυσαν στον διακομιστή αλληλογραφίας μέσω ενός ηλεκτρονικού “ψαρέματος” που περιείχε ένα αρχειοθετημένο κακόβουλο εκτελέσιμο αρχείο, οι φορείς απειλών ανέπτυξαν ένα κέλυφος ιστού με το όνομα ExchangeLeech (πρώτη φορά παρατηρήθηκε από την ομάδα Digital14 Incident Responseτο 2020) που μπορεί να κλέψει τα διαπιστευτήρια χρήστη.
Η ομάδα της FortiGuard Labs Threat Research βρήκε την κερκόπορτα του PowerExchange στα παραβιασμένα συστήματα ενός κυβερνητικού οργανισμού των Ηνωμένων Αραβικών Εμιράτων.
Συγκεκριμένα, το κακόβουλο λογισμικό επικοινωνεί με τον διακομιστή εντολών και ελέγχου (C2) μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστέλλονται χρησιμοποιώντας το API Exchange Web Services (EWS), στέλνοντας κλεμμένες πληροφορίες και λαμβάνοντας εντολές με κωδικοποίηση base64 μέσω συνημμένων κειμένου σε μηνύματα ηλεκτρονικού ταχυδρομείου με το “Ενημέρωση Microsoft Edge”. θέμα.
“Η χρήση του διακομιστή Exchange του θύματος για το κανάλι C2 επιτρέπει στο backdoor να συνδυάζεται με καλοήθη κυκλοφορία, διασφαλίζοντας έτσι ότι ο παράγοντας απειλής μπορεί εύκολα να αποφύγει σχεδόν όλους τους εντοπισμούς και επανορθώσεις που βασίζονται σε δίκτυο εντός και εκτός της υποδομής του οργανισμού-στόχου”, είπε η Ερευνητική ομάδα FortiGuard Labs Threat.