最近的网络安全观察中,一个针对微软Exchange服务器的名为 PowerExchange 的后门程序被发现,可能被伊朗黑客团伙用于攻击阿联酋政府。根据安全分析报告,该后门程序的入侵以电子邮件网络钓鱼作为初始访问途径,在zip压缩包中包含了 .NET 可执行文件。该可执行文件伪装成 PDF 文档,用作执行最终有效载荷的释放器,通过释放器来启动后门程序。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,PowerExchange 使用 PowerShell 编写,使用电子邮件附件的文本文件进行命令和控制 (C2) 通信。它允许攻击者运行任意载荷并从系统上传文件和从系统下载文件。

自定义植入程序通过使用 Exchange Web 服务 (EWS) API 连接到受害者的 Exchange 服务器,并使用服务器上的邮箱发送和接收来自其操作员的编码命令来实现这一点。

安全研究人员表示,可以从互联网访问 Exchange 服务器,从而节省了从组织中的设备到外部服务器的 C2 通信。该后门还充当攻击者掩饰自己的代理。

也就是说,目前尚不清楚攻击者如何设法获取域凭据以连接到目标 Exchange 服务器的。安全研究人员的调查还发现 Exchange 服务器被植入了多个 Webshell 后门,其中之一称为ExchangeLeech(又名 System.Web.ServiceAuthentication.dll),以实现持久远程访问并窃取用户凭据。

PowerExchange 被怀疑是TriFive的升级版,此前伊朗国家级攻击者 APT34(又名 OilRig)曾使用它入侵针对科威特政府机构的攻击。

此外,通过面向互联网的 Exchange 服务器进行通信是 OilRig 参与者采用的一种久经考验的策略,正如在Karkoff 和 MrPerfectionManager的案例中观察到的那样。

极牛攻防实验室表示,将受害者的 Exchange 服务器用于 C2 通道允许后门与合法流量混合,从而确保攻击者可以轻松避免目标组织基础设施内外几乎所有基于网络的检测和补救措施。