Un informe reciente de Fortinet FortiGuard Labs ha revelado que un probable actor de amenazas iraní ha dirigido su atención a una entidad gubernamental sin nombre asociada con los Emiratos Árabes Unidos (U.A.E.). El ataque utilizó phishing por correo electrónico para obtener el acceso inicial, y luego desplegó un ejecutable .NET contenido dentro de un archivo adjunto ZIP. Esta binaria actuó como un descargador para ejecutar la carga útil final, que luego lanzó una puerta trasera llamada PowerExchange. Escrito en PowerShell, PowerExchange utiliza archivos de texto adjuntos a correos electrónicos para la comunicación de comando y control (C2), permitiendo al actor de amenazas ejecutar cargas útiles arbitrarias y cargar y descargar archivos desde y hacia el sistema. Utiliza la API Exchange Web Services (EWS) para conectarse al servidor Exchange de la víctima, y utiliza un buzón en el servidor para enviar y recibir comandos codificados de su operador.
Se sospecha que el actor detrás de este ataque es una versión mejorada de TriFive, anteriormente utilizada por el actor de nivel nacional iraní APT34 (también conocido como OilRig). Se cree que el actor de amenazas fue capaz de obtener las credenciales de dominio para conectarse al servidor Exchange objetivo, así como de backdoorear los servidores Exchange con varias shells web, una de las cuales se llama ExchangeLeech (también conocida como System.Web.ServiceAuthentication.dll). Al utilizar el servidor Exchange de la víctima para el canal C2, el actor de amenazas puede mezclarse con el tráfico benigno, lo que dificulta su detección y remediación.
Source: Hackernews
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.