اخبار فناوری, زیر ساخت شبکه

یک بدافزار جدید Serverهای Exchange را هدف قرار داد!

بدافزار Exchange

بدافزار Exchange که  مبتنی بر پاور شل است توسط هکرهای دولتی ایران مورد استفاده قرار گرفته تا از طریق در پشتی، سرورهای مایکروسافت اکس‌چینج را هدف قرار دهد.

این بدافزار، ابتدا با ارسال یک ایمیل حاوی فایل‌های اجرایی مخرب، به سرورهای ایمیل نفوذ کرده و اطلاعات کاربری را مورد سرقت قرار می‌دهد. تیم تحقیقات امنیتی FortiGuard Labs، اولین بار این بدافزار را در سیستم‌های آسیب‌پذیر سازمان‌های دولتی کشور امارات، کشف کرده است. در ادامه این مطلب از هنر و توسعه ارتباطات شایگان با نحوه کار بدافزار اکس چینج، آشنا می‌شویم.

نحوه کار بدافزار Exchange

این بدافزار با استفاده از API وب سرویس اکس‌چینج، به ردوبدل کردن ایمیل با سرور فرماندهی و کنترل خود مشغول می‌شود و داده‌هایی که دزدیده را از این طریق، به سرورش ارسال می‌کند. سرور کنترل، دستورات را از طریق پیام‌های سنجا‌ق‌شده به ایمیل، برای بدافزار ارسال می‌کند. این پیام‌ها با استفاده از الگوریتم بیس 64 (Base64) کدگذاری شده‌اند. این ایمیل‌ها با پوشش بروزبرسانی برای مرورگر مایکروسافت اج ارسال می‌شوند و به همین دلیل، در قسمت سابجکت آن‌ها، عبارت «Update Microsoft Edge» نوشته شده است.

بدافزار Exchange با سواستفاده از سرور مایکروسافت Exchange، در ترافیک ردوبدل شده با این سرور مخفی شده و می‌تواند از شناسایی توسط سیستم‌های ناظر شبکه به راحتی در امان بماند.

در پشتی، به کنترل‌کننده بدافزار این اجازه را می‌دهد تا فایل‌های اجرایی مخرب را به سرور هک شده بفرستد و از فایل‌های موجود در سرور، بهره‌برداری کند.

محققان امنیتی در طول بررسی حملاتی که از طریق این بدافزار انجام شده، متوجه شدند که حملات بسیار دیگری از طریق در پشتی و به وسیله سایر ابزارهای مخرب،‌ انجام شده است. در میان آن‌ها، بدافزاری به نام ExchangeLeech web shell وجود دارد که به صورت یک فایل به نام System.Web.ServiceAuthentication.dll نصب می‌شود. این نام‌گذاری، از نام‌گذاری معمول فایل‌های dll پیروی می‌کند.

بدافزار ExchangeLeech با نظارت بر ترافیک مربوط به پروتکل HTTP، می‌تواند نام‌کاربری و رمزعبور ارسال شده به سرور را شناسایی کند. هکرها می‌توانند با استفاده از این بدافزار و از طریق پارامترهای  مربوط به کوکی‌ها، اطلاعات ورود به حساب کاربری را به دست آورند.

منشأ حمله با بدافزار Exchange کجاست؟

محققان امنیتی، این حملات را به یکی از گروه‌های هکری وابسته به دولت ایران (APT34) نسبت می‌دهند، چرا که بین این بدافزار و بدافزار TriFive که برای نفوذ به سرورهای دولتی کویت استفاده شده بود، شباهت‌هایی موجود است. هردوی این بدافزارها در پاور شل نوشته شده‌اند و توسط یک دستورالعمل زمان‌بندی شده، اجرا می‌شوند. همچنین ارسال فایل‌های دزدیده شده و دریافت دستورات نیز از طریق یک وب سرویس مشابه انجام می‌شود. با این که کد این دو بدافزار بسیار با یکدیگر متفاوت است، اما به نظر می‌رسد بدافزار Exchange، نسخه پیشرفته بدافزار TriFive باشد.

گروه هکری مذکور، از روش فیشینگ برای شروع حملات خود استفاده می‌کند و در گذشته نیز به سایر سیستم‌های وابسته به کشور امارات، نفوذ کرده بود.

منبع: bleepingcomputer.com

سوالات متداول

۱. بدافزار Exchange چیست؟

یک بدافزار مبتنی بر پاور شل است که برای نفوذ به سرورهای مایکروسافت Exchange طراحی شده است.

۲. بدافزار Exchange چگونه کار می‌کند؟

این بدافزار در ترافیک ردوبدل شده با سرور مایکروسافت Exchange مخفی شده و با دزدیدن اطلاعات حساب کاربری، به آن نفوذ می‌کند. سپس می‌تواند فایل‌های مخرب را برای دزدیدن اطلاعات ذخیره شده روی سرور، بر روی آن اجرا کند.