Site icon Kiber.ba

PowerExchange backdoor: Iranski kibernetički napad na vladu UAE

Neimenovani vladin entitet povezan s Ujedinjenim Arapskim Emiratima (UAE) bio je na meti iranskog hakera, kroz Microsoft Exchange Server pomoću “jednostavnog, ali djelotvornog” backdoor-a nazvanog PowerExchange.

Prema novom izvještaju Fortinet FortiGuard Labs-a, napad se oslanjao na email krađu kao početni pristupni put, što je dovelo do izvršenja .NET izvršne datoteke sadržane u prilogu ZIP datoteke.

Binarni, koji se maskira kao PDF dokument, funkcioniše kao dropper za izvršavanje konačnog payload-a, koji zatim pokreće backdoor.

PowerExchange, napisan u PowerShell-u, koristi tekstualne datoteke priložene email-ovima za komunikaciju naredbe i kontrole (C2). Omogućava hakeru da pokreće proizvoljne payload-ove i prenosi i preuzima datoteke sa i na sistem.

Prilagođeni implant to postiže korišćenjem API-a Exchange Web Services (EWS) za povezivanje sa Exchange serverom žrtve i koristi poštansko sanduče na serveru za slanje i primanje kodiranih komandi od svog operatera.

“Exchange Server je dostupan sa interneta, čuvajući C2 komunikaciju sa eksternim serverima sa uređaja u organizacijama” kažu istraživači Fortinet-a. “Takođe djeluje kao proxy za napadača da se maskira.”

Uz to, trenutno nije poznato kako je haker uspio dobiti kredencijale domene za povezivanje na ciljni Exchange Server.

Fortinet-ova istraga je takođe otkrila Exchange servere koji su imali backdoor sa nekoliko web shell-ova, od kojih se jedna zove ExchangeLeech (aka System.Web.ServiceAuthentication.dll), kako bi se postigao uporan daljinski pristup i ukrali korisnički kredencijali.

Sumnja se da je PowerExchange nadograđena verzija TriFive-a, koju je ranije koristio iranski haker APT34 (aka OilRig) u napadima na vladine organizacije u Kuvajtu.

Nadalje, komunikacija putem Exchange servera okrenutih prema internetu je isprobana taktika koju su usvojili hakeri OilRig-a, kao što je primjećeno u slučaju Karkoff-a i MrPerfectionManager-a.

„Korišćenje Exchange servera žrtve za C2 kanal omogućava da se backdoor stopi sa benignim saobraćajem, čime se osigurava da haker može lako da izbegne skoro sve detekcije i popravke zasnovane na mreži unutar i izvan infrastrukture ciljne organizacije“ rekli su istraživači.

Izvor: The Hacker News

Exit mobile version