Một báo cáo gần đây từ Fortinet FortiGuard Labs đã tiết lộ rằng một nhân vật đe dọa có thể đến từ Iran đã nhắm vào một thực thể chính phủ không được nêu tên liên quan đến Các Tiểu vương quốc Ả Rập Thống nhất (U.A.E.). Cuộc tấn công đã sử dụng phishing qua email để truy cập ban đầu, sau đó triển khai một tệp thực thi .NET nằm trong tệp đính kèm ZIP. Tệp nhị phân này hoạt động như một dropper để thực thi payload cuối cùng, sau đó khởi chạy một backdoor có tên là PowerExchange. Được viết bằng PowerShell, PowerExchange sử dụng các tệp văn bản đính kèm vào email để giao tiếp với máy chủ điều khiển và chỉ huy (C2), cho phép nhân vật đe dọa chạy các payload tùy ý và tải lên và tải xuống các tệp từ và đến hệ thống. Nó sử dụng API Exchange Web Services (EWS) để kết nối với Exchange Server của nạn nhân, và sử dụng một hòm thư trên máy chủ để gửi và nhận các lệnh được mã hóa từ người vận hành của nó.
Người ta nghi ngờ rằng nhân vật đứng sau cuộc tấn công này là một phiên bản nâng cấp của TriFive, trước đây đã được sử dụng bởi nhân vật đe dọa quốc gia Iran APT34 (còn được biết đến với tên OilRig). Người ta tin rằng nhân vật đe dọa đã có thể lấy được thông tin xác thực tên miền để kết nối với Exchange Server mục tiêu, cũng như đã đặt backdoor vào các máy chủ Exchange với nhiều web shell, một trong số đó được gọi là ExchangeLeech (còn được biết đến với tên System.Web.ServiceAuthentication.dll). Bằng cách sử dụng máy chủ Exchange của nạn nhân cho kênh C2, nhân vật đe dọa có thể hòa mình vào giao thông lành mạnh, làm cho việc phát hiện và khắc phục trở nên khó khăn.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.