มีการตรวจพบ Malware ตัวใหม่ที่มีการใช้งาน PowerShell ที่มีชื่อว่า PowerExchange ถูกนำมาใช้ในการโจมตีที่เชื่อมโยงกับกลุ่มผู้ไม่ประสงค์ดี APT34 ของอิหร่านไปยังเซิร์ฟเวอร์ Microsoft Exchange ภายในองค์กร
หลังจากเเฝงตัวอยู่ใน Mail Server ผ่านอีเมลฟิชชิ่งที่มีไฟล์ปฏิบัติการที่เป็นอันตราย ผู้ไม่ประสงค์ดี ได้ ปรับใช้เว็บ shell ชื่อ ExchangeLeech ที่สามารถขโมยข้อมูล Credentials ของผู้ใช้ได้ ทีมวิจัยภัยคุกคามของ FortiGuard Labs พบ PowerExchange backdoor บนระบบที่ถูกบุกรุกขององค์กรรัฐบาลสหรัฐอาหรับเอมิเรตส์
Malware สื่อสารกับเซิร์ฟเวอร์ Command-and-control (C2) ผ่านอีเมลที่ส่งโดยใช้ Exchange Web Services (EWS) API ส่งข้อมูลที่ถูกขโมยและรับคำสั่งที่เข้ารหัส base64 ผ่านไฟล์แนบข้อความไปยังอีเมลด้วย “Update Microsoft Edge” Backdoor ช่วยให้ผู้ไม่ประสงค์ดีส่งเพย์โหลดที่เป็นอันตรายเพิ่มเติมบนเซิร์ฟเวอร์ที่ถูกโจมตีและเพื่อกำจัดไฟล์ที่ใช้ขโมย
นักวิจัยพบ ExchangeLeech web shell ซึ่งติดตั้งเป็นไฟล์ชื่อ System.Web.ServiceAuthentication.dll ซึ่งเลียนแบบหลักการตั้งชื่อไฟล์ IIS ExchangeLeech จะรวบรวมชื่อผู้ใช้และรหัสผ่านของผู้ที่เข้าสู่ระบบเซิร์ฟเวอร์ Exchange ที่ถูกโจมตี
โดยใช้ basic authentication โดยการตรวจสอบการรับส่งข้อมูล HTTP แบบข้อความ และบันทึกข้อมูล Credentials จาก Webform data หรือ HTTP headers
FortiGuard Labs เชื่อมโยงการโจมตีเหล่านี้กับกลุ่มแฮ็ก APT34 ที่ได้รับการสนับสนุนจากรัฐของอิหร่าน โดยสังเกตว่ามีความคล้ายคลึงกันกันระหว่าง PowerExchange และMalware TriFive ที่พวกเขาใช้เพื่อโจมตีองค์กรรัฐบาลคูเวต
คำเเนะนำ
- ไม่เปิดไฟล์เเนบอีเมลที่ไม่รู้เเหล่งที่มาหรือไม่น่าเชื่อถือ
- ติดตั้ง Antivirus และ Full scan อยู่เสมอ
Ref : bleepingcomputer
ไม่มีความคิดเห็น:
แสดงความคิดเห็น