🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
Home
Threat Intelligence Posts
استخبارات الخصم

مكشوف: ثغرة نظام PowerExchange في الباب الخلفي في خوادم Microsoft Exchange

لقد اكتشفنا أن الباب الخلفي PowerExchange يستهدف خوادم Microsoft Exchange وباب Powershell الخلفي المصمم خصيصًا والذي تم نشره على كيان حكومي غير معروف في دولة الإمارات العربية المتحدة.
Updated on
August 19, 2025
Published on
May 30, 2023
Read MINUTES
6
Subscribe to the latest industry news, threats and resources.

الفئة: استخبارات الخصم

الصناعة: الحكومة

التحفيز:إمكانية الوصول

المنطقة: الشرق الأوسط

المصدر: تحت الأرض

ملخص تنفيذي

تهديد

  • تم نشر باب Powershell الخلفي المصنوع خصيصًا على كيان حكومي غير معروف في الإمارات العربية المتحدة.
  • بعد ذلك، تم نشر العديد من عمليات الزرع والحمولات الأخرى، وتتمتع إحدى هذه الغرسات بقدرات جمع بيانات الاعتماد.

تأثير

  • الوصول إلى الأصول الحكومية والكيانات ذات الصلة.
  • الوصول إلى الحسابات الحكومية.


التحليل والإسناد

الملخص الفني - نظرة عامة على الهجوم

 

  • تمت إعادة اكتشاف حملة تتضمن بابًا خلفيًا مخصصًا لـ Powershell. استهدفت هذه الحملة خوادم Microsoft Exchange التابعة لكيان حكومي إماراتي غير معروف.
  • كان الباب الخلفي لبرنامج PowerExchange هو يتم تسليمها عن طريق البريد الإلكتروني المخادع، والذي يحتوي على ملف تنفيذي كان بمثابة أداة تحميل للباب الخلفي لـ Powershell.
  • تم تحقيق الباب الخلفي الثبات باستخدام المهمة المجدولة لـ MicrosoftEdgeUpdateService، بحيث يتم تشغيل الحمولة كل خمس دقائق في إطار عملية جديدة.

  • تم استخدام الوصول الذي يوفره الباب الخلفي لنشر المزيد من الحمولات، والتي تضمنت وحدات من مشروع مفتوح المصدر قم باستدعاء ذا-هاش من أجل التحرك أفقيًا عبر المجال المستهدف.
  • كما تم نشر اثنين من أغلفة الويب C # في شكل.dlls. تم تسمية أحدهم ExchangeLeech، التي لديها قدرات حصاد بيانات الاعتماد إلى جانب توفير القدرة على تنفيذ الأوامر. ارجع إلى قواعد يارا للبحث عن التهديدات.

ملخص فني - الباب الخلفي لبرنامج PowerExchange

  • يأتي الباب الخلفي في شكل برنامج Powershell مخصص.
  • ما يجعله ماكرًا بطبيعته هو أنه يستخدم واجهة برمجة تطبيقات Microsoft Exchange Web Services للاتصال بخوادم Exchange المستهدفة، ويتلقى الأوامر من ممثل التهديد باستخدام صناديق البريد على الخادم.
  • للإشارة إلى أنه قيد التشغيل، يتصل الباب الخلفي بخادم Exchange الهدف، ويرسل اسم الكمبيوتر المشفر في base64 إلى صندوق بريد. يتم ترميز بيانات الاعتماد المستخدمة للاتصال بشكل ثابت في البرنامج النصي.
  • من أجل إرسال البيانات، يقوم الباب الخلفي بإنشاء بريد إلكتروني بعنوان «تحديث Microsoft Edge» والنص الأساسي «تحديث Microsoft Edge»، مع إرسال البيانات في مرفق.txt.
  • يتم إرسال الأوامر إلى الباب الخلفي في شكل مرفقات تحتوي على محتوى base64، وتسمح الأوامر لممثل التهديد بتنفيذ الأوامر أو تنزيل الملفات أو تحميل الملفات.

الإسناد

استنادًا إلى الأبحاث التي نشرتها مصادر متعددة حول حملة xHunt من يوليو 2018 والتي تستهدف الكيانات الحكومية الكويتية وشركات الشحن، يمكننا أن نعزو هذه الحملة والباب الخلفي لـ PowerExchange والأدوات ذات الصلة إلى APT34، وهو تهديد إيراني.

تشترك الأدوات المستخدمة في حملة xHunt، ولا سيما الباب الخلفي لـ TriFive، في العديد من أوجه التشابه مع الباب الخلفي لـ PowerExchange. كلا البابين الخلفيين عبارة عن نصوص Powershell، ويستخدمان المهام المجدولة لتحقيق الثبات، ويستخدمان نفس الطريقة للاتصال بـ C2: خوادم Exchange التي تستخدم EWS API. من المعروف أن APT34 تستخدم التصيد الاحتيالي من أجل الوصول الأولي، وقد استهدفت كيانات من الإمارات العربية المتحدة من قبل.

ميتري تي بي تي بي إس

نقاط MITRE TTPs المرتبطة بهذه الحملة هي كما يلي:

Tactic

Technique

Initial Access (TA0001)

Phishing: Spearphising Attachment (T1566.001)

Execution (TA0002)

User Execution: Malicious File (T1204.002)

Scheduled Task/Job: Scheduled Task (T1053.005)

Command and Scripting Interpreter: PowerShell (T1059.001)

Defense Evasion (TA0005)

Masquerading: Masquerade Task or Service (T1036.004)
Masquerading: Match Legitimate Name or Location (T1036.005)

Discovery (TA0007)

Network Share Discovery (T1135)

Lateral Movement (TA0008)

Lateral Tool Transfer (T1570)

Exfiltration (TA0010)

Exfiltration Over C2 Channel (T1041)

Command and Control (TA0011)

Application Layer Protocol: Web Protocols (T1071.001)

Data Encoding: Standard Encoding (T1132.001)

قواعد يارا

ترتبط C# Webshells (.dll) بالباب الخلفي لـ ExchangeLeech المذكور في التقرير.


import "pe"
rule System_Web_Transport_d11
{
meta:
description = "Webshell DLL installed as IIS module with named pipe tunneling"
author = "Digital14 Incident Response Team"
score=100
strings:
$opcode1 = {0C 72 [4] 0D 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ?? 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ??} //opcode for EndRequest
$opcode2 = {72 [4] 0A 72 [4] 0B 72 [4] 07 72 [4] 03 28 [4] 28 [4] 07 06 73 [4] 0C 08 20 [4] 6F [4].08} //opcode for Client
$PATH= "C:\\Users\\sheep\\" //DLL compilation folder
$splsvc= "splsvc" fullword wide //Named pipe defined name
condition:
pe.DLL and (($PATH and $splsvc) or any of ($opcode1, $opcode2)) and filesize < 12KB
}


rule System_Web_ServiceAuthentication_d11
{
meta:
description = "DLL installed as IIS module acting as credential harvester for users logging to OWA"
author = "Digital4 Incident Response Team"
score=100
strings:
$opcode1 {07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 6F [4] ??} //opcode for begingHandler
$opcode2= {72 [4] 6F [4] 39 [4] 08 6F [4] 72 [4] 6F [4] 72 [4] 6F [4] 3A [4] 07 6F [4] 72 [4] 6F [4] ??} //opcode for Endrequest handler
$PATH1 = "c$\\windows\\temp\\D226B187 44C3 454B AD66" fullword wide //Users credentials output file save location
$PATH2 = "C:\\Users\\sheep\\" //DLL compilation folder
condition:
pe.DLL and (($PATH1 and $PATH2) or any of ($opcode1, $opcode2)) and filesize < 15KB
}

المراجع

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Recent Posts

Recent Articles

مطالبة Cowin بتسريب البيانات وتحليل CloudSek
June 12, 2023
تدعي شركة Anonymous Sudan الإزالة الناجحة لأول موقع وتطبيق لبنك أبو ظبي عبر هجمات DDoS
May 29, 2023

Get Global Threat Intelligence on Real Time

Protect your business from cyber threats with real-time global threat intelligence data.. 30-day free and No Commitment Trial.
جدولة عرض تجريبي
Real time Threat Intelligence Data
More information and context about Underground Chatter
On-Demand Research Services
Dashboard mockup
Global Threat Intelligence Feed

Protect and proceed with Actionable Intelligence

The Global Cyber Threat Intelligence Feed is an innovative platform that gathers information from various sources to help businesses and organizations stay ahead of potential cyber-attacks. This feed provides real-time updates on cyber threats, including malware, phishing scams, and other forms of cybercrime.
Trusted by 400+ Top organisations
Get started
Learn more