Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • NIS 2
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • chi sono
    • Lavora con noi
  • CT per il sociale
  • Contatti
  • CyberNews

Nuove backdoor malware PowerExchange
Server Microsoft Exchange

Nuove backdoor malware PowerExchange
Server Microsoft Exchange

by Valeria / giovedì, 25 Maggio 2023 / Published in Cyber Security, Dark Web, HACKER

Un malware recentemente sviluppato basato su PowerShell, chiamato PowerExchange, è stato impiegato negli attacchi perpetrati dagli hacker statali iraniani APT34 al fine di creare backdoor sui server compromessi di Microsoft Exchange.

Dopo essersi infiltrati nel server di posta tramite un’insidiosa email di phishing contenente un file eseguibile dannoso, gli attori malevoli hanno implementato una shell web denominata ExchangeLeech, precedentemente individuata nel 2020 dal team di risposta agli incidenti di Digital14. Questa shell web possiede la capacità di sottrarre le credenziali degli utenti.

I ricercatori di FortiGuard Labs, specializzati nella ricerca sulle minacce informatiche, hanno individuato la backdoor PowerExchange all’interno dei sistemi compromessi di un’organizzazione governativa degli Emirati Arabi Uniti.

In particolare, il malware comunica con il suo server di command-and-control (C2) tramite l’invio di email utilizzando l’API Exchange Web Services (EWS). Attraverso allegati di testo presenti nelle email con l’oggetto “Aggiorna Microsoft Edge”, vengono inviati dati rubati e ricevuti comandi codificati in base64.

“L’uso del server Exchange della vittima come canale C2 permette alla backdoor di mimetizzarsi all’interno del traffico lecito, consentendo così agli attori malevoli di eludere agevolmente gran parte delle rilevazioni e delle misure di sicurezza basate sulla rete, sia all’interno che all’esterno dell’infrastruttura dell’organizzazione bersaglio”
Team di ricerca di FortiGuard Labs specializzato nelle minacce informatiche

La backdoor permette ai suoi operatori di eseguire comandi per introdurre ulteriori payload dannosi sui server compromessi e per esfiltrare i file raccolti.

Catena di infezione di PowerExchange (FortiGuard Labs)

Durante l’analisi forense della rete, i ricercatori hanno anche individuato altri endpoint infetti da diversi tipi di malware.

Tra questi, è stata rilevata la presenza della shell web ExchangeLeech, installata come un file denominato System.Web.ServiceAuthentication.dll, che imitava i nomi dei file legittimi utilizzati da IIS.

ExchangeLeech acquisisce i nomi utente e le password di coloro che accedono ai server Exchange compromessi utilizzando l’autenticazione di base, monitorando il traffico HTTP non crittografato e recuperando le credenziali dai dati presenti nel modulo Web o nelle intestazioni HTTP.

Gli aggressori possono anche istruire la shell web a inviare i registri delle credenziali mediante i parametri dei cookie.

FortiGuard Labs ha collegato questi attacchi al gruppo di hacker supportato dallo stato iraniano noto come APT34 (conosciuto anche come Oilrig), basandosi sulle somiglianze tra PowerExchange e il malware TriFive, entrambi utilizzati per creare backdoor nei server di organizzazioni governative del Kuwait.

“Pur presentando differenze nel codice, entrambe le backdoor presentano notevoli elementi in comune: sono scritte in PowerShell, vengono attivate da un’attività programmata periodica e utilizzano il server Exchange dell’organizzazione come canale C2 tramite l’API EWS. Pur trattandosi di forme di malware diverse, ipotizziamo che PowerExchange rappresenti una versione rinnovata e migliorata di TriFive”
I ricercatori

APT34 utilizza anche l’email di phishing come mezzo iniziale di infezione nei loro attacchi e in passato ha preso di mira altre entità negli Emirati Arabi Uniti, come evidenziato nel rapporto di FortiGuard Labs.

Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

La precisione
Sempre alla ricerca di imparare cose nuove
La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi
Tagged under: apt34, c2, command and control, exchangeleech, MICROSOFT EXCHANGE, powerexchange

What you can read next

Assedio informatico agli ospedali veneti
un monito per rafforzare la sicurezza digitale
Phishing 2.0:
come aggirare il 2FA con un sorriso
Gli hacker rubano 3 milioni di dollari
impersonando giornalisti di criptovalute

Categorie

  • AI
  • Analisi Tecnica
  • Attività
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking
  • Vulnerabilità

Recent Posts

  • La Grande Truffa delle Email:
    Quando i Router Diventano Complici

    Ricercatori di sicurezza di Infoblox hanno rece...
  • Microsoft MFA Down:
    Quando la Sicurezza Va in Vacanza

    Microsoft ha avvisato gli utenti di un problema...
  • La paranoia
    è la vera sicurezza

    Siamo all’ultimo articolo di questo spettacolo ...
  • Phishing 2.0:
    come aggirare il 2FA con un sorriso

    Cyberteam vi descrive come il vostro adorato 2F...
  • 2FA:
    Il falso senso di sicurezza

    Oggi parleremo del 2FA, o come mi piace chiamar...
  • GET SOCIAL

© 2024.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY - DICHIARAZIONE DI ACCESSIBILITA'

TOP
  • Sei sotto attacco?