Birleşik Arap Emirlikleri (BAE) ile bağlantılı isimsiz bir devlet kuruluşu, olası bir İranlı tehdit aktörü tarafından kurbanın Microsoft Exchange Sunucusunu “basit ama etkili” bir arka kapıyla ihlal etmek için hedef alındı. Güç Değişimi.
Fortinet FortiGuard Labs’ın yeni bir raporuna göre, izinsiz giriş, ilk erişim yolu olarak e-posta kimlik avına dayanıyordu ve bu da bir ZIP dosyası ekinde bulunan bir .NET yürütülebilir dosyasının yürütülmesine yol açtı.
Bir PDF belgesi gibi görünen ikili, son yükü yürütmek için bir damlalık görevi görür ve ardından arka kapıyı başlatır.
PowerShell’de yazılan PowerExchange, komut ve kontrol (C2) iletişimi için e-postalara eklenmiş metin dosyaları kullanır. Tehdit aktörünün rasgele yükleri çalıştırmasına ve sistemden ve sisteme dosya yüklemesine ve indirmesine izin verir.
Özel implant, bunu Exchange Web Hizmetlerinden yararlanarak başarır (EWS) Kurbanın Exchange Sunucusuna bağlanmak için API ve operatöründen kodlanmış komutlar göndermek ve almak için sunucudaki bir posta kutusunu kullanır.
Fortinet araştırmacıları “Exchange Server’a internetten erişilebiliyor ve C2 iletişimini kuruluşlardaki cihazlardan harici sunuculara kaydediyor” diyor. söz konusu. “Ayrıca saldırganın kendisini maskelemesi için bir vekil görevi görür.”
Bununla birlikte, şu anda tehdit aktörünün hedef Exchange Sunucusuna bağlanmak için etki alanı kimlik bilgilerini nasıl elde ettiği bilinmiyor.
Fortinet’in araştırması ayrıca, biri adı verilen birkaç web kabuğuyla arka kapılı Exchange sunucularını ortaya çıkardı. takasSülük (aka System.Web.ServiceAuthentication.dll), kalıcı uzaktan erişim elde etmek ve kullanıcı kimlik bilgilerini çalmak için.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
PowerExchange’in yükseltilmiş bir sürümü olduğundan şüpheleniliyor Üç Beşdaha önce İranlı ulusal aktör APT34 (aka OilRig) tarafından Kuveyt’teki devlet kurumlarını hedef alan izinsiz girişlerde kullanıldı.
Ayrıca, internete bakan Exchange sunucuları aracılığıyla iletişim, Karkoff ve MrPerfectionManager örneğinde gözlemlendiği gibi, OilRig aktörleri tarafından benimsenen denenmiş ve test edilmiş bir taktiktir.
Araştırmacılar, “C2 kanalı için kurbanın Exchange sunucusunu kullanmak, arka kapının iyi huylu trafiğe karışmasına izin vererek, tehdit aktörünün hedef kuruluşun altyapısı içinde ve dışında neredeyse tüm ağ tabanlı tespitlerden ve düzeltmelerden kolayca kaçınmasını sağlıyor” dedi.