新的 PowerExchange 后门被用于伊朗对阿联酋政府的网络攻击

阅读量179683

发布时间 : 2023-05-26 11:46:02

一个与阿拉伯联合酋长国 (UAE) 相关的未具名政府实体成为可能是伊朗威胁行为者的目标,以使用名为 PowerExchange 的“简单而有效”的后门破坏受害者的 Microsoft Exchange Server。
根据 Fortinet FortiGuard Labs 的一份新报告,攻击者将电子邮件网络钓鱼作为初始访问途径,导致执行包含 ZIP 文件附件的 .NET 可执行文件。
伪装成 PDF 文档的二进制文件用作执行最终有效载荷的释放器,然后启动后门。
PowerExchange 使用 PowerShell 编写,使用附加到电子邮件的文本文件进行命令和控制 (C2) 通信。它允许威胁行为者运行任意负载并从系统上传文件和从系统下载文件。

 

自定义植入程序通过使用 Exchange Web 服务 ( EWS ) API 连接到受害者的 Exchange 服务器并使用服务器上的邮箱发送和接收来自其操作员的编码命令来实现这一点。
 
Fortinet 研究人员说:“可以从互联网访问 Exchange 服务器,从而节省了从组织中的设备到外部服务器的 C2 通信。” “它还充当攻击者掩饰自己的代理人。”
 
目前尚不清楚威胁参与者如何设法获取域凭据以连接到目标 Exchange Server。
 
Fortinet 的调查还发现 Exchange 服务器被多个 Web shell 后门,其中之一称为ExchangeLeech,以实现持久远程访问并窃取用户凭据。
 
PowerExchange 被怀疑是TriFive的升级版,此前伊朗国家级攻击者 APT34(又名 OilRig)曾使用它入侵针对科威特政府机构的攻击。
 
此外,通过面向互联网的 Exchange 服务器进行通信是 OilRig 参与者采用的一种久经考验的策略,正如在Karkoff 和 MrPerfectionManager的案例中观察到的那样。
 
“将受害者的 Exchange 服务器用于 C2 通道允许后门与良性流量混合,从而确保威胁行为者可以轻松避免目标组织基础设施内外几乎所有基于网络的检测和补救措施,”研究人员说。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+110赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66