Birleşik Arap Emirlikleri (BAE) ile bağlantılı isimsiz bir devlet kuruluşu, olası bir İranlı tehdit aktörü tarafından kurbanın Microsoft Exchange Sunucusunu “basit ama etkili” bir arka kapıyla ihlal etmek için hedef alındı. Güç Değişimi.
Fortinet FortiGuard Labs’ın yeni bir raporuna göre, izinsiz giriş, ilk erişim yolu olarak e-posta kimlik avına dayanıyordu ve bu da bir ZIP dosyası ekinde bulunan bir .NET yürütülebilir dosyasının yürütülmesine yol açtı.
Bir PDF belgesi gibi görünen ikili, son yükü yürütmek için bir damlalık görevi görür ve ardından arka kapıyı başlatır.
PowerShell’de yazılan PowerExchange, komut ve kontrol (C2) iletişimi için e-postalara eklenmiş metin dosyaları kullanır. Tehdit aktörünün keyfi yükler çalıştırmasına ve sistemden ve sisteme dosya yüklemesine ve indirmesine izin verir.
Özel implant bunu, kurbanın Exchange Sunucusuna bağlanmak için Exchange Web Services (EWS) API’sini kullanarak ve operatöründen kodlanmış komutlar gönderip almak için sunucudaki bir posta kutusunu kullanarak başarır.
Fortinet araştırmacıları, “Exchange Server’a internetten erişilebiliyor ve C2 iletişimini kuruluşlardaki cihazlardan harici sunuculara kaydediyor” dedi. “Ayrıca saldırganın kendisini maskelemesi için bir vekil görevi görür.”
Bununla birlikte, şu anda tehdit aktörünün hedef Exchange Sunucusuna bağlanmak için alan kimlik bilgilerini nasıl elde ettiği bilinmiyor.
Fortinet’in araştırması, kalıcı uzaktan erişim elde etmek ve kullanıcı kimlik bilgilerini çalmak için biri ExchangeLeech (System.Web.ServiceAuthentication.dll olarak da bilinir) olarak adlandırılan birkaç web kabuğuyla arka kapıya sahip Exchange sunucularını da ortaya çıkardı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
PowerExchange’in, daha önce İranlı ulusal aktör APT34 (aka OilRig) tarafından Kuveyt’teki devlet kurumlarını hedef alan izinsiz girişlerde kullanılan TriFive’ın yükseltilmiş bir versiyonu olduğundan şüpheleniliyor.
Ayrıca, internete bakan Exchange sunucuları aracılığıyla iletişim, Karkoff ve MrPerfectionManager örneğinde gözlemlendiği gibi, OilRig aktörleri tarafından benimsenen denenmiş ve test edilmiş bir taktiktir.
Araştırmacılar, “C2 kanalı için kurbanın Exchange sunucusunu kullanmak, arka kapının iyi huylu trafiğe karışmasına izin vererek, tehdit aktörünün hedef kuruluşun altyapısı içinde ve dışında neredeyse tüm ağ tabanlı tespitlerden ve düzeltmelerden kolayca kaçınmasını sağlıyor” dedi.