16/12/2024

Actu CybersécuritéEntreprise

PowerExchange, une porte dérobée qui cible les serveurs Microsoft Exchange

Un nouveau logiciel malveillant surnommé PowerExchange par les chercheurs en sécurité a été utilisée par un groupe de cybercriminels pour prendre le contrôle de serveurs Microsoft Exchange on-premise.

Ce sont les chercheurs en sécurité de chez Fortinet qui ont mis en ligne ce rapport au sujet du malware qu'ils ont surnommé "PowerExchange" et qui permet de déployer une porte dérobée. Une fois en place, cette porte dérobée déploie un web shell nommé ExchangeLeech qui permet aux attaquants d'exécuter des commandes sur le serveur de messagerie et de voler les identifiants des utilisateurs. Le web shell ExchangeLeech en lui-même n'est pas nouveauté puisqu'il a été observé pour la première fois en 2020.

D'après l'équipe de chercheurs FortiGuard Labs Threat Research, la porte dérobée PowerExchange a été utilisée en 2022 pour attaquer des entités gouvernementales des Émirats arabes. Le groupe de cybercriminels APT34  a été associé à ces attaques, et celui-ci est un groupe étatique lié à l'Iran.

La chaîne d'infection de PowerExchange

Tout commence par un e-mail de type phishing qui contient une archive ZIP avec un exécutable malveillant. Dans le rapport de Fortinet, on peut lire : "Un utilisateur a ouvert un fichier zip nommé Brochure.zip qui contenait un exécutable .NET malveillant portant le même nom : Brochure.exe.", ce qui donne lieu ensuite à trois autres fichiers générés dans "C:\Users\Public\MicrosoftEdge" : autosave.exe, wsdl.ps1 et Microsoft.Exchange.WebServices.dll.

Le nouvel exécutable "autosave.exe" sert à lancer le script PowerShell "wsdl.ps1" dans un nouveau processus, ce script correspondant à une porte dérobée codée en PowerShell. Comme le montre le schéma ci-dessous, la porte dérobée communique avec le serveur C2 des attaquants au travers du serveur de messagerie Exchange de la victime.

Malware PowerExchange
Source : Fortinet

D'ailleurs, dans le rapport de Fortinet, on peut lire ce qui suit : "Le script PowerShell [...] utilise l'API Exchange Web Services (EWS) pour se connecter au serveur Exchange de la victime et utilise les boîtes aux lettres du serveur pour envoyer et recevoir des commandes de son opérateur." - Forcément, le fait que le serveur Exchange soit accessible depuis Internet rend possible l'utilisation de cette méthode.

Les e-mails utilisés pour recevoir les commandes utilisent le nom "Update Microsoft Edge" comme objet de message. C'est en pièce jointe de l'e-mail qu'il faut regarder pour obtenir la commande à exécuter. En parallèle, le web shell ExchangeLeech agit sur le serveur de manière à collecter les identifiants et mots de passe des utilisateurs. Pour cela, il exploite une faiblesse de la Basic Authentication qui lui permet de récupérer les identifiants en clair.

Cette nouvelle menace, bien que détectée l'année dernière par Fortinet, nous rappelle une fois de plus qu'il est important de sécuriser et maintenir à jour son serveur de messagerie Exchange.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.