Malware de intercambio de energía
Un malware recientemente identificado llamado PowerExchange ha surgido en las operaciones de ataque. Esta puerta trasera novedosa emplea PowerShell como su principal lenguaje de secuencias de comandos. El malware se utilizó para establecer puertas traseras en los servidores de Microsoft Exchange locales. Los incidentes de ataque que involucran la amenaza podrían estar vinculados a los piratas informáticos estatales iraníes APT34 (Advanced Persistent Threat).
El vector de ataque empleado por los actores de amenazas implicaba infiltrarse en el servidor de correo objetivo a través de un correo electrónico de phishing. El correo electrónico contenía un archivo comprimido que albergaba un ejecutable comprometido. Una vez ejecutado, se implementó PowerExchange, lo que permitió a los piratas informáticos obtener acceso y control no autorizados sobre los servidores de Microsoft Exchange comprometidos. Luego, los actores de amenazas también utilizan un shell web rastreado como ExchangeLeech, que se descubrió por primera vez en 2020, lo que les permite filtrar datos confidenciales, centrándose principalmente en el robo de credenciales de usuario almacenadas en los servidores de Microsoft Exchange comprometidos.
El uso del malware PowerExchange, junto con el shell web ExchangeLeech, demuestra las tácticas sofisticadas empleadas por APT34 en sus actividades amenazantes. La puerta trasera de PowerExchange fue descubierta por un equipo de investigación en los sistemas comprometidos de una organización gubernamental con sede en los Emiratos Árabes Unidos.
Tabla de contenido
El malware PowerExchange aprovecha el servidor Exchange de la víctima
El malware PowerExchange establece comunicación con el servidor de comando y control (C2) de la operación de ataque. Aprovecha los correos electrónicos enviados a través de la API de Exchange Web Services (EWS), utilizando archivos adjuntos de texto dentro de estos correos electrónicos para enviar información recopilada y recibir comandos codificados en base64. Estos correos electrónicos intentan evitar atraer un escrutinio adicional por parte de la víctima al llevar el asunto "Actualizar Microsoft Edge".
La utilización del servidor Exchange de la víctima como canal C2 es una estrategia deliberada empleada por los atacantes. Este enfoque permite que la puerta trasera se mezcle con el tráfico legítimo, lo que dificulta enormemente que los mecanismos de detección y remediación basados en la red identifiquen y mitiguen la amenaza. Al camuflar sus actividades dentro de la infraestructura de la organización, los actores de amenazas pueden evitar la detección y mantener una presencia encubierta.
La puerta trasera de PowerExchange brinda a los operadores un amplio control sobre los servidores comprometidos. Les permite ejecutar varios comandos, incluida la entrega de cargas útiles amenazantes adicionales en los servidores comprometidos y la filtración de archivos recolectados. Esta versatilidad permite a los actores de amenazas ampliar su alcance y llevar a cabo más actividades dañinas dentro del entorno comprometido.
Se implementan implantes amenazantes adicionales como parte de los ataques de puerta trasera de PowerExchange
También se identificaron puntos finales comprometidos adicionales que contenían varios otros implantes inseguros. En particular, uno de los implantes descubiertos fue el shell web de ExchangeLeech, que se disfrazó como un archivo llamado System.Web.ServiceAuthentication.dll, adoptando las convenciones de nomenclatura típicamente asociadas con los archivos legítimos de IIS.
ExchangeLeech opera mediante la recopilación activa de información confidencial, dirigida específicamente a los nombres de usuario y contraseñas de las personas que inician sesión en los servidores de Exchange comprometidos mediante autenticación básica. Esto se logra a través de la capacidad del shell web para monitorear el tráfico HTTP de texto claro y capturar credenciales de datos de formularios web o encabezados HTTP.
Para explotar aún más los servidores comprometidos, los atacantes pueden indicarle al Web Shell que transmita los registros de credenciales recopilados a través de parámetros de cookies. Esto les permite exfiltrar de forma encubierta las credenciales capturadas sin despertar sospechas.
Los ataques de PowerExchange se atribuyen al grupo de piratas informáticos APT34
Los ataques de PowerExchange se han atribuido al grupo de piratería patrocinado por el estado iraní conocido como APT34 o Oilrig. Los investigadores establecieron esta conexión al identificar sorprendentes similitudes entre el malware PowerExchange y el malware TriFive utilizado anteriormente por APT34 para establecer puertas traseras dentro de los servidores de las organizaciones gubernamentales de Kuwait.
Tanto PowerExchange como TriFive exhiben similitudes notables. Ambos se basan en PowerShell, se activan a través de tareas programadas y explotan el servidor de Exchange de la organización mediante la API de EWS como canal C2. Aunque el código de estas puertas traseras es claramente diferente, los investigadores especulan que PowerExchange representa una iteración evolucionada y mejorada del malware TriFive.
Además, vale la pena mencionar que APT34 emplea constantemente correos electrónicos de phishing como vector de infección inicial de sus operaciones de ataque. Al atraer a las víctimas para que interactúen con contenido no seguro o hacer clic en enlaces corruptos dentro de estos correos electrónicos, APT34 se afianza en el entorno objetivo, lo que les permite continuar con sus actividades amenazantes. El hecho de que APT34 haya violado previamente otras entidades en los Emiratos Árabes Unidos se suma a la evidencia que los vincula con estos ataques.
