بدافزار Exchange که مبتنی بر پاور شل است توسط هکرهای دولتی ایران مورد استفاده قرار گرفته تا از طریق در پشتی، سرورهای مایکروسافت اکسچینج را هدف قرار دهد.
این بدافزار، ابتدا با ارسال یک ایمیل حاوی فایلهای اجرایی مخرب، به سرورهای ایمیل نفوذ کرده و اطلاعات کاربری را مورد سرقت قرار میدهد. تیم تحقیقات امنیتی FortiGuard Labs، اولین بار این بدافزار را در سیستمهای آسیبپذیر سازمانهای دولتی کشور امارات، کشف کرده است. در ادامه این مطلب از هنر و توسعه ارتباطات شایگان با نحوه کار بدافزار اکس چینج، آشنا میشویم.
نحوه کار بدافزار Exchange
این بدافزار با استفاده از API وب سرویس اکسچینج، به ردوبدل کردن ایمیل با سرور فرماندهی و کنترل خود مشغول میشود و دادههایی که دزدیده را از این طریق، به سرورش ارسال میکند. سرور کنترل، دستورات را از طریق پیامهای سنجاقشده به ایمیل، برای بدافزار ارسال میکند. این پیامها با استفاده از الگوریتم بیس 64 (Base64) کدگذاری شدهاند. این ایمیلها با پوشش بروزبرسانی برای مرورگر مایکروسافت اج ارسال میشوند و به همین دلیل، در قسمت سابجکت آنها، عبارت «Update Microsoft Edge» نوشته شده است.
بدافزار Exchange با سواستفاده از سرور مایکروسافت Exchange، در ترافیک ردوبدل شده با این سرور مخفی شده و میتواند از شناسایی توسط سیستمهای ناظر شبکه به راحتی در امان بماند.
در پشتی، به کنترلکننده بدافزار این اجازه را میدهد تا فایلهای اجرایی مخرب را به سرور هک شده بفرستد و از فایلهای موجود در سرور، بهرهبرداری کند.
محققان امنیتی در طول بررسی حملاتی که از طریق این بدافزار انجام شده، متوجه شدند که حملات بسیار دیگری از طریق در پشتی و به وسیله سایر ابزارهای مخرب، انجام شده است. در میان آنها، بدافزاری به نام ExchangeLeech web shell وجود دارد که به صورت یک فایل به نام System.Web.ServiceAuthentication.dll نصب میشود. این نامگذاری، از نامگذاری معمول فایلهای dll پیروی میکند.
بدافزار ExchangeLeech با نظارت بر ترافیک مربوط به پروتکل HTTP، میتواند نامکاربری و رمزعبور ارسال شده به سرور را شناسایی کند. هکرها میتوانند با استفاده از این بدافزار و از طریق پارامترهای مربوط به کوکیها، اطلاعات ورود به حساب کاربری را به دست آورند.
- بیشتر بخوانید: نصب و راه اندازی SMG
منشأ حمله با بدافزار Exchange کجاست؟
محققان امنیتی، این حملات را به یکی از گروههای هکری وابسته به دولت ایران (APT34) نسبت میدهند، چرا که بین این بدافزار و بدافزار TriFive که برای نفوذ به سرورهای دولتی کویت استفاده شده بود، شباهتهایی موجود است. هردوی این بدافزارها در پاور شل نوشته شدهاند و توسط یک دستورالعمل زمانبندی شده، اجرا میشوند. همچنین ارسال فایلهای دزدیده شده و دریافت دستورات نیز از طریق یک وب سرویس مشابه انجام میشود. با این که کد این دو بدافزار بسیار با یکدیگر متفاوت است، اما به نظر میرسد بدافزار Exchange، نسخه پیشرفته بدافزار TriFive باشد.
گروه هکری مذکور، از روش فیشینگ برای شروع حملات خود استفاده میکند و در گذشته نیز به سایر سیستمهای وابسته به کشور امارات، نفوذ کرده بود.
منبع: bleepingcomputer.com
سوالات متداول
۱. بدافزار Exchange چیست؟
یک بدافزار مبتنی بر پاور شل است که برای نفوذ به سرورهای مایکروسافت Exchange طراحی شده است.
۲. بدافزار Exchange چگونه کار میکند؟
این بدافزار در ترافیک ردوبدل شده با سرور مایکروسافت Exchange مخفی شده و با دزدیدن اطلاعات حساب کاربری، به آن نفوذ میکند. سپس میتواند فایلهای مخرب را برای دزدیدن اطلاعات ذخیره شده روی سرور، بر روی آن اجرا کند.