Secondo quanto riportato, attori della minaccia iraniani avrebbero preso di mira un’entità governativa associata agli Emirati Arabi Uniti (EAU), utilizzando un backdoor chiamato PowerExchange per violare il server Microsoft Exchange della vittima. Il rapporto di Fortinet FortiGuard Labs indica che l’intrusione si è basata sul phishing tramite email come punto di accesso iniziale, eseguendo successivamente un eseguibile .NET contenuto in un allegato ZIP.
Il file binario, mascherato come un documento PDF, funge da “dropper” per eseguire il payload finale e avviare il backdoor. PowerExchange, scritto in PowerShell, utilizza file di testo allegati alle email per la comunicazione di comando e controllo (C2). Ciò consente all’attore della minaccia di eseguire payload arbitrari e caricare e scaricare file dal e al sistema.
L’implementazione personalizzata utilizza l’API Exchange Web Services (EWS) per connettersi al server Exchange della vittima e utilizza una casella di posta sul server per inviare e ricevere comandi codificati dal suo operatore.
I ricercatori di Fortinet hanno notato che il server Exchange è accessibile da Internet, risparmiando così la comunicazione C2 ai server esterni dai dispositivi all’interno delle organizzazioni e agendo come proxy per l’attaccante. Tuttavia, non è ancora chiaro come l’attore della minaccia sia riuscito a ottenere le credenziali del dominio per connettersi al server Exchange preso di mira.
L’indagine ha inoltre rilevato server Exchange che erano stati compromessi con vari web shell, incluso uno chiamato ExchangeLeech, che ha consentito un accesso remoto persistente e il furto di credenziali dell’utente.
Si sospetta che PowerExchange sia una versione aggiornata di TriFive, precedentemente utilizzata dall’attore di stato-nazione iraniano APT34 (noto anche come OilRig) in attacchi contro organizzazioni governative in Kuwait. L’uso di server Exchange esposti su Internet per la comunicazione C2 è una tattica conosciuta adottata dal gruppo OilRig.