PowerExchange؛ درب‌پشتی جدید هکرهای ایرانی

شرکت فورتی‌نت (Fortinet)، جزییات کارزار جدیدی را منتشر کرده که در جریان آن، مهاجمان اقدام به اجرای یک درب‌پشتی مبتنی بر PowerShell موسوم به PowerExchange و تسخیر سرور Exchange قربانی می‌کنند.

فورتی‌نت، اجرای این کارزار را که از آن با عنوان Total Exchange یاد شده به یک گروه از نفوذگران ایرانی نسبت داده است.

روش رخنه اولیه، ایمیل‌های فیشینگی است که به طور کاملاً هدفمند به کاربران موردنظر مهاجمان ارسال می‌شوند. پیوست این ایمیل‌ها نیز، فایلی ZIP است که در آن یک فایل اجرایی با نام Brochure.exe جاسازی شده است.

در صورت اجرای فایل توسط قربانی، یک وب‌شل (Web Shell) مخرب که وظیفه آن سرقت اطلاعات اصالت‌سنجی است توزیع می‌شود.

این بدافزار، برای برقراری ارتباط با سرور فرماندهی (C2) خود اقدام به ارسال ایمیل از طریق Exchange Web Services API می‌کند. همچنین فرامین خود را نیز در قالب ایمیل‌های با عنوان Update Microsoft Edge و با پیوست فایل متنی (TXT) دریافت می‌کند.

مشروح گزارش فورتی‌نت در لینک زیر قابل دریافت و مطالعه است:

https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered