Un recente rapporto di Fortinet FortiGuard Labs ha rivelato che un probabile attore minaccioso iraniano ha preso di mira un’entità governativa non meglio identificata associata agli Emirati Arabi Uniti (U.A.E.). L’attacco ha utilizzato la phishing via e-mail per ottenere l’accesso iniziale, quindi ha distribuito un eseguibile .NET contenuto in un allegato ZIP. Questo binario ha agito come dropper per eseguire il payload finale, che ha quindi lanciato un backdoor chiamato PowerExchange. Scritto in PowerShell, PowerExchange utilizza file di testo allegati alle e-mail per la comunicazione di comando e controllo (C2), consentendo all’attore minaccioso di eseguire payload arbitrari e caricare e scaricare file dal sistema. Utilizza l’API Exchange Web Services (EWS) per connettersi al server Exchange della vittima e utilizza una casella di posta sul server per inviare e ricevere comandi codificati dal suo operatore.
L’attore dietro questo attacco è sospettato di essere una versione aggiornata di TriFive, precedentemente utilizzata dall’attore di livello nazionale iraniano APT34 (aka OilRig). Si ritiene che l’attore minaccioso sia riuscito ad ottenere le credenziali di dominio per connettersi al server Exchange della destinazione, oltre a backdoored i server Exchange con diverse web shell, una delle quali è chiamata ExchangeLeech (aka System.Web.ServiceAuthentication.dll). Utilizzando il server Exchange della vittima come canale C2, l’attore minaccioso è in grado di mescolarsi con il traffico benigno, rendendo difficile la sua rilevazione e rimozione.
Source: Hackernews
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.