شرکت فورتینت (Fortinet)، جزییات کارزار جدیدی را منتشر کرده که در جریان آن، مهاجمان اقدام به اجرای یک دربپشتی مبتنی بر PowerShell موسوم به PowerExchange و تسخیر سرور Exchange قربانی میکنند.
فورتینت، اجرای این کارزار را که از آن با عنوان Total Exchange یاد شده به یک گروه از نفوذگران ایرانی نسبت داده است.
روش رخنه اولیه، ایمیلهای فیشینگی است که به طور کاملاً هدفمند به کاربران موردنظر مهاجمان ارسال میشوند. پیوست این ایمیلها نیز، فایلی ZIP است که در آن یک فایل اجرایی با نام Brochure.exe جاسازی شده است.
در صورت اجرای فایل توسط قربانی، یک وبشل (Web Shell) مخرب که وظیفه آن سرقت اطلاعات اصالتسنجی است توزیع میشود.
این بدافزار، برای برقراری ارتباط با سرور فرماندهی (C2) خود اقدام به ارسال ایمیل از طریق Exchange Web Services API میکند. همچنین فرامین خود را نیز در قالب ایمیلهای با عنوان Update Microsoft Edge و با پیوست فایل متنی (TXT) دریافت میکند.
مشروح گزارش فورتینت در لینک زیر قابل دریافت و مطالعه است:
https://www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered