İran tarafından desteklendiği iddia edilen APT34, Birleşik Arap Emirlikleri’ne ait devlet kurumlarına PowerExchange zararlısını kullanarak saldırılar düzenledi.
İranlı hackerların düzenlediği siber saldırılarda, PowerExchange hedeflerin şirketlerinde yer alan Microsoft Exchange sunucularında arka kapılar açmak için kullanıldı. Hackerlar, arşivlenmiş kötü amaçlı bir yürütülebilir dosya içeren kimlik avı e-postası aracılığıyla ilgili Exchange sunucularına sızdıktan sonra kullanıcıların kimlik bilgilerini çalabilen ExchangeLeech adlı bir web shell de yerleştirdi.
FortiGuard Labs araştırma ekibi, PowerExchange backdoor’unu Birleşik Arap Emirlikleri’ndeki bir devlet kurumunun ele geçirilmiş sistemlerinde bulduğunu söyledi. Zararlı, komuta ve kontrol (C2) sunucusuyla Exchange Web Services (EWS) API’si kullanılarak gönderilen e-postalar yardımıyla iletişim kuruyor ve çalınan bilgileri böylece saldırganlara gönderiyor.
Güvenlik araştırmacıları, komuta kontrol amacıyla hedef Exchange sunucusunun kendisi kullanıldığı için arka kapının gerçekleştirdiği bütün trafiğin iyi huylu gibi gözüktüğünü ve bu sayede neredeyse network tabanlı bütün tespit teknolojilerinden kaçabildiğini söyledi.
Arka kapının yetenekleri arasında en belirgin olanı ise hackerların sistemlerde kod yürütebilmeleri ve istedikleri dosyaları çalabilmeleri. FortiGuard Labs, PowerExchange ile İranlı hackerların Kuveyt’i daha önce hedef almak için kullandıkları TriFive zararlı yazılımı arasındaki benzerliklere dayanarak bu saldırının APT34 ile bağlantı olduğunu söyledi.
