Un informe recent de Fortinet FortiGuard Labs ha revelat que un possible actor de amenaces iranià ha objectat a una entitat governamental no identificada associada amb els Emirats Àrabs Units (UAE). L’atac va utilitzar phishing per obtenir l’accés inicial, després va desplegar un executable .NET contingut dins un fitxer adjunt ZIP. Aquest binari va actuar com a gota per executar el pagament final, el qual llavors va llançar un porta-enrere anomenat PowerExchange. Escrit en PowerShell, PowerExchange utilitza fitxers de text adjunts a correus electrònics per a la comunicació de comandaments i control (C2), permetent a l’actor de amenaces executar pagaments arbitraris i pujar i baixar fitxers al i des del sistema. Utilitza l’API Exchange Web Services (EWS) per connectar-se al servidor Exchange de la víctima i utilitza una bústia de correu al servidor per enviar i rebre comandaments codificats des del seu operador.
Es sospita que l’actor darrere d’aquest atac és una versió actualitzada de TriFive, anteriorment utilitzada per l’actor de nivell estatal iranià APT34 (també conegut com OilRig). Es creu que l’actor de amenaces va poder obtenir les credencials de domini per connectar-se al servidor Exchange de l’objectiu, així com fer de porta enrere als servidors Exchange amb diverses closques web, una de les quals es diu ExchangeLeech (també coneguda com System.Web.ServiceAuthentication.dll). Utilitzant el servidor Exchange de la víctima per al canal C2, l’actor de amenaces pot barrejar-se amb el trànsit benign, cosa que fa difícil detectar-lo i remediarl.
Source: Hackernews
Per mitigar amenaces potencials, és important implementar mesures addicionals de ciberseguretat amb l’ajuda d’un soci de confiança com INFRA www.infrascan.net o bé pots provar-ho tu mateix utilitzant check.website.