Недавний отчет Fortinet FortiGuard Labs раскрыл, что, вероятно, иранский актер угрозы нацелился на неуказанное правительственное учреждение, связанное с Объединенными Арабскими Эмиратами (ОАЭ). В атаке использовался фишинг по электронной почте для первоначального доступа, затем был развернут исполняемый файл .NET, содержащийся в прикрепленном ZIP-файле. Этот двоичный файл действовал как дроппер для выполнения окончательного полезного нагрузки, который затем запустил обратную дверь под названием PowerExchange. Написанный на PowerShell, PowerExchange использует текстовые файлы, прикрепленные к электронным письмам, для коммуникации командного и контрольного (C2) канала, позволяя актеру угрозы запускать произвольные полезные нагрузки и загружать и скачивать файлы из системы. Он использует API Exchange Web Services (EWS) для подключения к серверу Exchange жертвы и использует почтовый ящик на сервере для отправки и получения закодированных команд от его оператора.
Подозревается, что актер, стоящий за этой атакой, является обновленной версией TriFive, ранее использовавшейся иранским актером угрозы от государства APT34 (также известным как OilRig). Считается, что актер угрозы смог получить учетные данные домена для подключения к целевому серверу Exchange, а также внедрил обратные двери в серверы Exchange с несколькими веб-оболочками, одна из которых называется ExchangeLeech (также известна как System.Web.ServiceAuthentication.dll). Используя сервер Exchange жертвы для канала C2, актер угрозы может смешиваться с безвредным трафиком, что затрудняет его обнаружение и устранение.
Source: Hackernews
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.