Un nouveau logiciel malveillant basé sur PowerShell, baptisé PowerExchange, a été utilisé dans des attaques liées à des pirates de l’État iranien APT34 pour détourner des serveurs Microsoft Exchange sur site.
Après avoir infiltré le serveur de messagerie via un e-mail de phishing contenant un exécutable malveillant archivé, les acteurs de la menace ont déployé un shell Web nommé ExchangeLeech (observé pour la première fois par l’équipe Digital14 Incident Response en 2020) qui peut voler les informations d’identification des utilisateurs.
L’équipe de recherche sur les menaces de FortiGuard Labs a découvert la porte dérobée PowerExchange sur les systèmes compromis d’une organisation gouvernementale des Émirats arabes unis.
Notamment, le logiciel malveillant communique avec son serveur de commande et de contrôle (C2) via des e-mails envoyés à l’aide de l’API Exchange Web Services (EWS), en envoyant des informations volées et en recevant des commandes encodées en base64 via des pièces jointes de texte aux e-mails avec la « mise à jour de Microsoft Edge ». sujet.
« L’utilisation du serveur Exchange de la victime pour le canal C2 permet à la porte dérobée de se fondre dans le trafic bénin, garantissant ainsi que l’auteur de la menace peut facilement éviter presque toutes les détections et corrections basées sur le réseau à l’intérieur et à l’extérieur de l’infrastructure de l’organisation cible », a déclaré FortiGuard Labs Threat. L’équipe de recherche a déclaré.
La porte dérobée permet à ses opérateurs d’exécuter des commandes pour fournir des charges utiles malveillantes supplémentaires sur les serveurs piratés et d’exfiltrer les fichiers récoltés.
Au cours de l’enquête médico-légale sur le réseau, les chercheurs ont également découvert d’autres terminaux dérobés avec divers autres implants malveillants.
Parmi eux, ils ont trouvé le shell Web ExchangeLeech, installé sous la forme d’un fichier nommé System.Web.ServiceAuthentication.dll qui imitait les conventions de dénomination de fichiers IIS légitimes.
ExchangeLeech collecte les noms d’utilisateur et les mots de passe de ceux qui se connectent aux serveurs Exchange compromis à l’aide d’une authentification de base en surveillant le trafic HTTP en texte clair et en capturant les informations d’identification à partir des données du formulaire Web ou des en-têtes HTTP.
Les attaquants peuvent demander au shell Web d’envoyer le journal des informations d’identification via les paramètres des cookies.
FortiGuard Labs a lié ces attaques au groupe de piratage informatique soutenu par l’État iranien APT34 (alias Oilrig) sur la base de similitudes entre PowerExchange et le logiciel malveillant TriFive qu’ils ont utilisé pour détourner les serveurs des organisations gouvernementales koweïtiennes.
« Les deux portes dérobées partagent des points communs frappants : elles sont écrites en PowerShell, activées par une tâche planifiée périodique, et le canal C2 exploite le serveur Exchange de l’organisation avec l’API EWS. Et bien que leur code soit très différent, nous supposons que PowerExchange est un nouveau et amélioré forme de TriFive », ont déclaré les chercheurs.
APT34 utilise également les e-mails de phishing comme vecteur d’infection initial dans ses attaques et a déjà violé d’autres entités des Émirats arabes unis, selon le rapport de Fortiguard Labs.