PowerExchange, une porte dérobée qui cible les serveurs Microsoft Exchange
Un nouveau logiciel malveillant surnommé PowerExchange par les chercheurs en sécurité a été utilisée par un groupe de cybercriminels pour prendre le contrôle de serveurs Microsoft Exchange on-premise.
Ce sont les chercheurs en sécurité de chez Fortinet qui ont mis en ligne ce rapport au sujet du malware qu'ils ont surnommé "PowerExchange" et qui permet de déployer une porte dérobée. Une fois en place, cette porte dérobée déploie un web shell nommé ExchangeLeech qui permet aux attaquants d'exécuter des commandes sur le serveur de messagerie et de voler les identifiants des utilisateurs. Le web shell ExchangeLeech en lui-même n'est pas nouveauté puisqu'il a été observé pour la première fois en 2020.
D'après l'équipe de chercheurs FortiGuard Labs Threat Research, la porte dérobée PowerExchange a été utilisée en 2022 pour attaquer des entités gouvernementales des Émirats arabes. Le groupe de cybercriminels APT34 a été associé à ces attaques, et celui-ci est un groupe étatique lié à l'Iran.
La chaîne d'infection de PowerExchange
Tout commence par un e-mail de type phishing qui contient une archive ZIP avec un exécutable malveillant. Dans le rapport de Fortinet, on peut lire : "Un utilisateur a ouvert un fichier zip nommé Brochure.zip qui contenait un exécutable .NET malveillant portant le même nom : Brochure.exe.", ce qui donne lieu ensuite à trois autres fichiers générés dans "C:\Users\Public\MicrosoftEdge" : autosave.exe, wsdl.ps1 et Microsoft.Exchange.WebServices.dll.
Le nouvel exécutable "autosave.exe" sert à lancer le script PowerShell "wsdl.ps1" dans un nouveau processus, ce script correspondant à une porte dérobée codée en PowerShell. Comme le montre le schéma ci-dessous, la porte dérobée communique avec le serveur C2 des attaquants au travers du serveur de messagerie Exchange de la victime.
D'ailleurs, dans le rapport de Fortinet, on peut lire ce qui suit : "Le script PowerShell [...] utilise l'API Exchange Web Services (EWS) pour se connecter au serveur Exchange de la victime et utilise les boîtes aux lettres du serveur pour envoyer et recevoir des commandes de son opérateur." - Forcément, le fait que le serveur Exchange soit accessible depuis Internet rend possible l'utilisation de cette méthode.
Les e-mails utilisés pour recevoir les commandes utilisent le nom "Update Microsoft Edge" comme objet de message. C'est en pièce jointe de l'e-mail qu'il faut regarder pour obtenir la commande à exécuter. En parallèle, le web shell ExchangeLeech agit sur le serveur de manière à collecter les identifiants et mots de passe des utilisateurs. Pour cela, il exploite une faiblesse de la Basic Authentication qui lui permet de récupérer les identifiants en clair.
Cette nouvelle menace, bien que détectée l'année dernière par Fortinet, nous rappelle une fois de plus qu'il est important de sécuriser et maintenir à jour son serveur de messagerie Exchange.
