New PowerExchange malware backdoors Microsoft Exchange servers
พบมัลแวร์ตัวใหม่ที่ใช้ PowerShell ซึ่งมีชื่อว่า PowerExchange ถูกนำมาใช้ในการโจมตีที่เชื่อมโยงกับกลุ่มแฮ็กเกอร์ APT34 ของอิหร่านไปยังเซิร์ฟเวอร์ Microsoft Exchange แบบลับๆภายในองค์กร หลังจากแทรกซึมไปยังเซิร์ฟเวอร์อีเมลผ่านอีเมลฟิชชิ่งที่มีไฟล์ปฏิบัติการที่เป็นอันตราย ผู้โจมตีได้ปรับใช้เว็บเชลล์ที่ชื่อ ExchangeLeech ซึ่งพบครั้งแรกโดยทีม Digital14 Incident Response ในปี 2020 ที่สามารถขโมยข้อมูลประจำตัวของผู้ใช้ได้ ทีมวิจัยภัยคุกคามของ FortiGuard Labs พบแบ็คดอร์ PowerExchange บนระบบที่ถูกบุกรุกขององค์กรรัฐบาลสหรัฐอาหรับเอมิเรตส์ โดยพบว่ามัลแวร์ได้ทำการสื่อสารกับเซิร์ฟเวอร์ command-and-control (C2) ผ่านอีเมลที่ส่งโดยใช้ Exchange Web Services (EWS) API ส่งข้อมูลที่ถูกขโมยและรับคำสั่งที่เข้ารหัส base64 ผ่านไฟล์แนบข้อความไปยังอีเมลด้วยหัวข้อเรื่อง Update Microsoft Edge
การใช้เซิร์ฟเวอร์ Exchange ของเหยื่อสำหรับช่อง C2 นั้นทำให้แบ็คดอร์สามารถทำงานร่วมกับทราฟฟิกที่ไม่เป็นอันตราย ดังนั้นจึงมั่นใจได้ว่าผู้โจมตีสามารถหลีกเลี่ยงการตรวจจับและการแก้ไขบนเครือข่ายเกือบทั้งหมดทั้งภายในและภายนอกโครงสร้างพื้นฐานขององค์กรเป้าหมายได้อย่างง่ายดาย นอกจากนี้แบ็คดอร์ยังช่วยให้ผู้โจมตีสามารถรันคำสั่งเพื่อส่งเพย์โหลดที่เป็นอันตรายเพิ่มเติมบนเซิร์ฟเวอร์ที่ถูกแฮ็กและเพื่อกำจัด harvested files ในระหว่างการสืบสวนนักวิจัยยังได้ค้นพบเว็บเชลล์ ExchangeLeech ซึ่งติดตั้งเป็นไฟล์ชื่อ System.Web.ServiceAuthentication.dll ซึ่งเลียนแบบหลักการตั้งชื่อไฟล์ IIS ที่ถูกต้อง โดยเว็บเชลล์ ExchangeLeech จะรวบรวมชื่อผู้ใช้และรหัสผ่านของผู้ที่เข้าสู่ระบบเซิร์ฟเวอร์ Exchange ที่ถูกบุกรุกโดยใช้การรับรองความถูกต้องขั้นพื้นฐานโดยการตรวจสอบการรับส่งข้อมูล HTTP แบบข้อความที่ชัดเจนและบันทึกข้อมูลรับรองจากข้อมูลเว็บฟอร์มหรือ HTTP headers และยังสามารถสั่งให้เว็บเชลล์ส่ง credential log ผ่านคุกกี้
ทีมวิจัยภัยคุกคามของ FortiGuard Labs ยังพบการเชื่อมโยงการโจมตีเหล่านี้กับกลุ่มแฮ็ก APT34 (หรือที่เรียกว่า Oilrig) ที่ได้รับการสนับสนุนจากรัฐของอิหร่าน โดยพิจารณาจากความคล้ายคลึงกันระหว่าง PowerExchange และมัลแวร์ TriFive ที่พวกเขาใช้เพื่อแบ็คดอร์เซิร์ฟเวอร์ขององค์กรรัฐบาลคูเวต โดยแบ็คดอร์ทั้งสองมีลักษณะทั่วไปที่โดดเด่นคือสามารถเขียนใน PowerShell โดยจะเปิดใช้งานตามเวลาที่กำหนดไว้เป็นระยะ และติดต่อกับเซิร์ฟเวอร์ C2 โดยใช้ประโยชน์จากเซิร์ฟเวอร์ Exchange ขององค์กรด้วย EWS API และแม้ว่าโค้ดจะแตกต่างกันมาก แต่คาดว่ามัลแวร์ PowerExchange เป็นแบบใหม่และเป็นการปรับปรุงรูปแบบมาจากมัลแวร์ TriFive
https://www.bleepingcomputer.com/news/security/new-powerexchange-malware-backdoors-microsoft-exchange-servers/