🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
الصفحة الرئيسية
مراكز استخبارات التهديدات
استخبارات الخصم

مكشوف: ثغرة نظام PowerExchange في الباب الخلفي في خوادم Microsoft Exchange

لقد اكتشفنا أن الباب الخلفي PowerExchange يستهدف خوادم Microsoft Exchange وباب Powershell الخلفي المصمم خصيصًا والذي تم نشره على كيان حكومي غير معروف في دولة الإمارات العربية المتحدة.
تم التحديث بتاريخ
August 19, 2025
تم النشر في
May 30, 2023
اقرأ الدقائق
6
اشترك في أحدث أخبار الصناعة والتهديدات والموارد.

الفئة: استخبارات الخصم

الصناعة: الحكومة

التحفيز:إمكانية الوصول

المنطقة: الشرق الأوسط

المصدر: تحت الأرض

ملخص تنفيذي

تهديد

  • تم نشر باب Powershell الخلفي المصنوع خصيصًا على كيان حكومي غير معروف في الإمارات العربية المتحدة.
  • بعد ذلك، تم نشر العديد من عمليات الزرع والحمولات الأخرى، وتتمتع إحدى هذه الغرسات بقدرات جمع بيانات الاعتماد.

تأثير

  • الوصول إلى الأصول الحكومية والكيانات ذات الصلة.
  • الوصول إلى الحسابات الحكومية.


التحليل والإسناد

الملخص الفني - نظرة عامة على الهجوم

 

  • تمت إعادة اكتشاف حملة تتضمن بابًا خلفيًا مخصصًا لـ Powershell. استهدفت هذه الحملة خوادم Microsoft Exchange التابعة لكيان حكومي إماراتي غير معروف.
  • كان الباب الخلفي لبرنامج PowerExchange هو يتم تسليمها عن طريق البريد الإلكتروني المخادع، والذي يحتوي على ملف تنفيذي كان بمثابة أداة تحميل للباب الخلفي لـ Powershell.
  • تم تحقيق الباب الخلفي الثبات باستخدام المهمة المجدولة لـ MicrosoftEdgeUpdateService، بحيث يتم تشغيل الحمولة كل خمس دقائق في إطار عملية جديدة.

  • تم استخدام الوصول الذي يوفره الباب الخلفي لنشر المزيد من الحمولات، والتي تضمنت وحدات من مشروع مفتوح المصدر قم باستدعاء ذا-هاش من أجل التحرك أفقيًا عبر المجال المستهدف.
  • كما تم نشر اثنين من أغلفة الويب C # في شكل.dlls. تم تسمية أحدهم ExchangeLeech، التي لديها قدرات حصاد بيانات الاعتماد إلى جانب توفير القدرة على تنفيذ الأوامر. ارجع إلى قواعد يارا للبحث عن التهديدات.

ملخص فني - الباب الخلفي لبرنامج PowerExchange

  • يأتي الباب الخلفي في شكل برنامج Powershell مخصص.
  • ما يجعله ماكرًا بطبيعته هو أنه يستخدم واجهة برمجة تطبيقات Microsoft Exchange Web Services للاتصال بخوادم Exchange المستهدفة، ويتلقى الأوامر من ممثل التهديد باستخدام صناديق البريد على الخادم.
  • للإشارة إلى أنه قيد التشغيل، يتصل الباب الخلفي بخادم Exchange الهدف، ويرسل اسم الكمبيوتر المشفر في base64 إلى صندوق بريد. يتم ترميز بيانات الاعتماد المستخدمة للاتصال بشكل ثابت في البرنامج النصي.
  • من أجل إرسال البيانات، يقوم الباب الخلفي بإنشاء بريد إلكتروني بعنوان «تحديث Microsoft Edge» والنص الأساسي «تحديث Microsoft Edge»، مع إرسال البيانات في مرفق.txt.
  • يتم إرسال الأوامر إلى الباب الخلفي في شكل مرفقات تحتوي على محتوى base64، وتسمح الأوامر لممثل التهديد بتنفيذ الأوامر أو تنزيل الملفات أو تحميل الملفات.

الإسناد

استنادًا إلى الأبحاث التي نشرتها مصادر متعددة حول حملة xHunt من يوليو 2018 والتي تستهدف الكيانات الحكومية الكويتية وشركات الشحن، يمكننا أن نعزو هذه الحملة والباب الخلفي لـ PowerExchange والأدوات ذات الصلة إلى APT34، وهو تهديد إيراني.

تشترك الأدوات المستخدمة في حملة xHunt، ولا سيما الباب الخلفي لـ TriFive، في العديد من أوجه التشابه مع الباب الخلفي لـ PowerExchange. كلا البابين الخلفيين عبارة عن نصوص Powershell، ويستخدمان المهام المجدولة لتحقيق الثبات، ويستخدمان نفس الطريقة للاتصال بـ C2: خوادم Exchange التي تستخدم EWS API. من المعروف أن APT34 تستخدم التصيد الاحتيالي من أجل الوصول الأولي، وقد استهدفت كيانات من الإمارات العربية المتحدة من قبل.

ميتري تي بي تي بي إس

نقاط MITRE TTPs المرتبطة بهذه الحملة هي كما يلي:

Tactic

Technique

Initial Access (TA0001)

Phishing: Spearphising Attachment (T1566.001)

Execution (TA0002)

User Execution: Malicious File (T1204.002)

Scheduled Task/Job: Scheduled Task (T1053.005)

Command and Scripting Interpreter: PowerShell (T1059.001)

Defense Evasion (TA0005)

Masquerading: Masquerade Task or Service (T1036.004)
Masquerading: Match Legitimate Name or Location (T1036.005)

Discovery (TA0007)

Network Share Discovery (T1135)

Lateral Movement (TA0008)

Lateral Tool Transfer (T1570)

Exfiltration (TA0010)

Exfiltration Over C2 Channel (T1041)

Command and Control (TA0011)

Application Layer Protocol: Web Protocols (T1071.001)

Data Encoding: Standard Encoding (T1132.001)

قواعد يارا

ترتبط C# Webshells (.dll) بالباب الخلفي لـ ExchangeLeech المذكور في التقرير.


import "pe"
rule System_Web_Transport_d11
{
meta:
description = "Webshell DLL installed as IIS module with named pipe tunneling"
author = "Digital14 Incident Response Team"
score=100
strings:
$opcode1 = {0C 72 [4] 0D 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ?? 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ??} //opcode for EndRequest
$opcode2 = {72 [4] 0A 72 [4] 0B 72 [4] 07 72 [4] 03 28 [4] 28 [4] 07 06 73 [4] 0C 08 20 [4] 6F [4].08} //opcode for Client
$PATH= "C:\\Users\\sheep\\" //DLL compilation folder
$splsvc= "splsvc" fullword wide //Named pipe defined name
condition:
pe.DLL and (($PATH and $splsvc) or any of ($opcode1, $opcode2)) and filesize < 12KB
}


rule System_Web_ServiceAuthentication_d11
{
meta:
description = "DLL installed as IIS module acting as credential harvester for users logging to OWA"
author = "Digital4 Incident Response Team"
score=100
strings:
$opcode1 {07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 6F [4] ??} //opcode for begingHandler
$opcode2= {72 [4] 6F [4] 39 [4] 08 6F [4] 72 [4] 6F [4] 72 [4] 6F [4] 3A [4] 07 6F [4] 72 [4] 6F [4] ??} //opcode for Endrequest handler
$PATH1 = "c$\\windows\\temp\\D226B187 44C3 454B AD66" fullword wide //Users credentials output file save location
$PATH2 = "C:\\Users\\sheep\\" //DLL compilation folder
condition:
pe.DLL and (($PATH1 and $PATH2) or any of ($opcode1, $opcode2)) and filesize < 15KB
}

المراجع

CloudSek Platform عبارة عن منصة خالية من التعليمات البرمجية تعمل على تشغيل منتجاتنا بقدرات تحليلية تنبؤية للتهديدات.
المشاركات الأخيرة

المقالات الأخيرة

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

احصل على معلومات التهديدات العالمية في الوقت الفعلي

قم بحماية عملك من التهديدات الإلكترونية باستخدام بيانات معلومات التهديدات العالمية في الوقت الفعلي.. تجربة مجانية لمدة 30 يومًا وبدون التزام.
جدولة عرض تجريبي
بيانات معلومات التهديدات في الوقت الحقيقي
مزيد من المعلومات والسياق حول الدردشة تحت الأرض
خدمات البحث حسب الطلب
نموذج لوحة القيادة
موجز معلومات التهديدات العالمية

قم بالحماية والمضي قدمًا الذكاء القابل للتنفيذ

إن Global Cyber Threat Intelligence Feed عبارة عن منصة مبتكرة تجمع المعلومات من مصادر مختلفة لمساعدة الشركات والمؤسسات على البقاء في صدارة الهجمات الإلكترونية المحتملة. توفر هذه الخلاصة تحديثات في الوقت الفعلي للتهديدات الإلكترونية، بما في ذلك البرامج الضارة وعمليات الاحتيال الاحتيالي وغيرها من أشكال الجرائم الإلكترونية.
موثوق بها من قبل أكثر من 400 مؤسسة رائدة
ابدأ
تعرف على المزيد