Una entidad gubernamental no identificada asociada con los Emiratos Árabes Unidos (EAU) fue atacada por un probable actor de amenazas iraní para violar el Microsoft Exchange Server de la víctima con una puerta trasera «simple pero efectiva» denominada intercambio de energía.
Según un nuevo informe de Fortinet FortiGuard Labs, la intrusión se basó en el phishing de correo electrónico como vía de acceso inicial, lo que condujo a la ejecución de un ejecutable .NET contenido con un archivo adjunto ZIP.
El binario, que se hace pasar por un documento PDF, funciona como un cuentagotas para ejecutar la carga útil final, que luego inicia la puerta trasera.
PowerExchange, escrito en PowerShell, emplea archivos de texto adjuntos a correos electrónicos para la comunicación de comando y control (C2). Permite que el actor de amenazas ejecute cargas útiles arbitrarias y cargue y descargue archivos desde y hacia el sistema.
El implante personalizado logra esto haciendo uso de los servicios web de Exchange (SAT) API para conectarse al servidor Exchange de la víctima y utiliza un buzón en el servidor para enviar y recibir comandos codificados de su operador.
«Se puede acceder al Exchange Server desde Internet, lo que ahorra la comunicación C2 a servidores externos desde los dispositivos de las organizaciones», investigadores de Fortinet dicho. «También actúa como un proxy para que el atacante se enmascare».
Dicho esto, actualmente no se sabe cómo el actor de amenazas logró obtener las credenciales de dominio para conectarse al servidor Exchange de destino.
La investigación de Fortinet también descubrió servidores de Exchange que tenían una puerta trasera con varios shells web, uno de los cuales se llama IntercambioSanguijuela (también conocido como System.Web.ServiceAuthentication.dll), para lograr acceso remoto persistente y robar credenciales de usuario.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Se sospecha que PowerExchange es una versión mejorada de tricincoque fue utilizado anteriormente por el actor de teatro nacional iraní APT34 (también conocido como OilRig) en intrusiones contra organizaciones gubernamentales en Kuwait.
Además, la comunicación a través de servidores Exchange orientados a Internet es una táctica probada y comprobada adoptada por los actores de OilRig, como se observó en el caso de Karkoff y MrPerfectionManager.
«Usar el servidor Exchange de la víctima para el canal C2 permite que la puerta trasera se mezcle con el tráfico benigno, lo que garantiza que el atacante pueda evitar fácilmente casi todas las detecciones y remediaciones basadas en la red dentro y fuera de la infraestructura de la organización objetivo», dijeron los investigadores.