admin İran tarafından desteklendiği tez edilen APT34, Birleşik Arap Emirlikleri’ne ilişkin devlet kurumlarına PowerExchange zararlısını kullanarak hücumlar düzenledi.
İranlı hackerların düzenlediği siber taarruzlarda, PowerExchange maksatların şirketlerinde yer alan Microsoft Exchange sunucularında art kapılar açmak için kullanıldı. Hackerlar, arşivlenmiş makûs maksatlı bir yürütülebilir evrak içeren kimlik avı e-postası aracılığıyla ilgili Exchange sunucularına sızdıktan sonra kullanıcıların kimlik bilgilerini çalabilen ExchangeLeech isimli bir web shell de yerleştirdi.
FortiGuard Labs araştırma grubu, PowerExchange backdoor’unu Birleşik Arap Emirlikleri’ndeki bir devlet kurumunun ele geçirilmiş sistemlerinde bulduğunu söyledi. Ziyanlı, komuta ve denetim (C2) sunucusuyla Exchange Web Services (EWS) API’si kullanılarak gönderilen e-postalar yardımıyla irtibat kuruyor ve çalınan bilgileri böylelikle saldırganlara gönderiyor.
Güvenlik araştırmacıları, komuta denetim gayesiyle amaç Exchange sunucusunun kendisi kullanıldığı için art kapının gerçekleştirdiği bütün trafiğin yeterli huylu üzere gözüktüğünü ve bu sayede neredeyse network tabanlı bütün tespit teknolojilerinden kaçabildiğini söyledi.
Arka kapının yetenekleri ortasında en bariz olanı ise hackerların sistemlerde kod yürütebilmeleri ve istedikleri evrakları çalabilmeleri. FortiGuard Labs, PowerExchange ile İranlı hackerların Kuveyt’i daha evvel amaç almak için kullandıkları TriFive ziyanlı yazılımı ortasındaki benzerliklere dayanarak bu hücumun APT34 ile temas olduğunu söyledi.
