(https://i.imgur.com/4RM9Yis.png)
Una entidad gubernamental no identificada asociada con los Emiratos Árabes Unidos (EAU) fue atacada por un probable actor de amenazas iraní para violar el servidor Microsoft Exchange de la víctima con una puerta trasera "simple pero efectiva" llamada PowerExchange.
Según un nuevo informe de Fortinet FortiGuard Labs, la intrusión se basó en el phishing de correo electrónico como una vía de acceso inicial, lo que llevó a la ejecución de un ejecutable .NET contenido con un archivo ZIP adjunto.
El binario, que se hace pasar por un documento PDF, funciona como un cuentagotas para ejecutar la carga útil final, que luego lanza la puerta trasera.
PowerExchange, escrito en PowerShell, emplea archivos de texto adjuntos a correos electrónicos para la comunicación de comando y control (C2). Permite al actor de amenazas ejecutar cargas arbitrarias y cargar y descargar archivos desde y hacia el sistema.
El implante personalizado logra esto haciendo uso de la API de servicios Web Exchange (EWS) para conectarse al servidor Exchange de la víctima y utiliza un buzón en el servidor para enviar y recibir comandos codificados de su operador.
"El servidor de Exchange es accesible desde Internet, ahorrando la comunicación C2 a servidores externos desde los dispositivos en las organizaciones", dijeron los investigadores de Fortinet. "También actúa como un representante para que el atacante se enmascare".
(https://i.imgur.com/ZL8OCKu.png)
Dicho esto, actualmente no se sabe cómo el actor de amenazas logró obtener las credenciales de dominio para conectarse al servidor de Exchange de destino.
La investigación de Fortinet también descubrió servidores Exchange que tenían varias puertas traseras con varios shells web, uno de los cuales se llama ExchangeLeech (también conocido como System.Web.ServiceAuthentication.dll), para lograr un acceso remoto persistente y robar credenciales de usuario.
Se sospecha que PowerExchange es una versión mejorada de TriFive, que fue utilizada anteriormente por el actor iraní APT34 (también conocido como OilRig) en intrusiones dirigidas a organizaciones gubernamentales en Kuwait.
Además, la comunicación a través de servidores Exchange orientados a Internet es una táctica probada adoptada por los actores de OilRig, como se observó en el caso de Karkoff y MrPerfectionManager.
"El uso del servidor Exchange de la víctima para el canal C2 permite que la puerta trasera se mezcle con el tráfico benigno, asegurando así que el actor de la amenaza pueda evitar fácilmente casi todas las detecciones y remediaciones basadas en la red dentro y fuera de la infraestructura de la organización objetivo", dijeron los investigadores.
Fuente: https://thehackernews.com