PowerExchangeマルウェア

新たに特定された「PowerExchange」という名前のマルウェアが攻撃活動に登場しました。この斬新なバックドアは、主要なスクリプト言語として PowerShell を採用しています。このマルウェアは、オンプレミスの Microsoft Exchange サーバーにバックドアを確立するために利用されました。この脅威に関連する攻撃事件は、 APT34 (Advanced Persistent Threat) イラン国家ハッカーに関連している可能性があります。

脅威アクターが使用した攻撃ベクトルには、フィッシングメールを介して標的のメール サーバーに侵入することが含まれていました。電子メールには、侵害された実行可能ファイルを格納する圧縮アーカイブが含まれていました。 PowerExchangeが実行されると、展開され、ハッカーが不正なアクセスを取得し、侵害されたMicrosoft Exchangeサーバーを制御できるようになります。次に、脅威アクターは、2020 年に初めて発見された ExchangeLeech として追跡される Web シェルも利用し、主に侵害された Microsoft Exchange サーバー内に保存されているユーザー資格情報の盗難に焦点を当てて、機密データを窃取できるようにしています。

ExchangeLeech Web シェルと組み合わせた PowerExchange マルウェアの使用は、APT34 が脅威活動に使用する高度な戦術を示しています。 PowerExchange バックドアは、アラブ首長国連邦に拠点を置く政府機関の侵害されたシステムに関する研究チームによって発見されました。

PowerExchangeマルウェアは被害者のExchangeサーバーを悪用します

PowerExchange マルウェアは、攻撃操作のコマンドアンドコントロール (C2) サーバーとの通信を確立します。 Exchange Web サービス (EWS) API を通じて送信される電子メールを活用し、これらの電子メール内のテキスト添付ファイルを利用して、収集した情報を送信し、base64 でエンコードされたコマンドを受信します。これらの電子メールは、「Microsoft Edge の更新」という件名を付けることで、被害者によるさらなる監視を避けることを試みています。

被害者の Exchange サーバーを C2 チャネルとして利用することは、脅威アクターが採用した意図的な戦略です。このアプローチにより、バックドアが正規のトラフィックに溶け込むことが可能になり、ネットワークベースの検出および修復メカニズムが脅威を特定して軽減することが非常に困難になります。組織のインフラストラクチャ内でその活動を偽装することにより、脅威アクターは検出を効果的に回避し、秘密の存在を維持できます。

PowerExchange バックドアは、オペレータに侵害されたサーバに対する広範な制御を提供します。これにより、侵害されたサーバーへの追加の脅威となるペイロードの配信や、収集されたファイルの流出など、さまざまなコマンドの実行が可能になります。この多用途性により、脅威アクターは攻撃範囲を拡大し、侵害された環境内でさらに有害な活動を実行できるようになります。

PowerExchangeバックドア攻撃の一環として追加の脅威となるインプラントが導入される

他のさまざまな安全でないインプラントを含む、侵害されたエンドポイントも特定されています。特に、発見されたインプラントの 1 つは、正規の IIS ファイルに通常関連付けられている命名規則を採用し、System.Web.ServiceAuthentication.dll という名前のファイルとして偽装されていた ExchangeLeech Web シェルでした。

ExchangeLeech は機密情報を積極的に収集することによって動作し、特に基本認証を使用して侵害された Exchange サーバーにログインする個人のユーザー名とパスワードをターゲットにします。これは、クリア テキストの HTTP トラフィックを監視し、Web フォーム データまたは HTTP ヘッダーから資格情報を取得する Web シェルの機能によって実現されます。

侵害されたサーバーをさらに悪用するために、攻撃者は、Cookie パラメータを介して収集された認証情報ログを送信するように Web シェルに指示することができます。これにより、疑いを抱かれることなく、キャプチャした認証情報を秘密裏に持ち出すことができます。

PowerExchange攻撃はAPT34ハッカーグループによるものである

PowerExchange 攻撃は、APT34 または Oilrig として知られるイラン国家支援のハッキング グループによるものであると考えられています。研究者らは、PowerExchangeマルウェアと、クウェート政府機関のサーバー内にバックドアを確立するためにAPT34によって以前に利用されていたTriFiveマルウェアとの顕著な類似点を特定することで、この関連性を明らかにしました。

PowerExchange と TriFive はどちらも顕著な類似点を示しています。これらはどちらも PowerShell に基づいており、スケジュールされたタスクを通じてアクティブ化され、EWS API を C2 チャネルとして使用して組織の Exchange サーバーを利用します。これらのバックドアのコードは明らかに異なりますが、研究者らは、PowerExchange が TriFive マルウェアの進化および改良版であると推測しています。

さらに、APT34 は攻撃操作の最初の感染ベクトルとして一貫してフィッシングメールを使用していることにも言及する価値があります。 APT34 は、被害者に安全でないコンテンツを操作させたり、これらの電子メール内の破損したリンクをクリックさせたりすることで、標的の環境に足場を築き、脅威的な活動を続行できるようにします。 APT34 が以前にアラブ首長国連邦の他の組織に侵入したという事実は、それらをこれらの攻撃に結び付ける証拠をさらに強化します。