最近的網(wǎng)絡(luò)安全觀察中，一個(gè)針對(duì)微軟Exchange服務(wù)器的名為 PowerExchange 的后門程序被發(fā)現(xiàn)，可能被伊朗黑客團(tuán)伙用于攻擊阿聯(lián)酋政府。根據(jù)安全分析報(bào)告，該后門程序的入侵以電子郵件網(wǎng)絡(luò)釣魚作為初始訪問途徑，在zip壓縮包中包含了 .NET 可執(zhí)行文件。該可執(zhí)行文件偽裝成 PDF 文檔，用作執(zhí)行最終有效載荷的釋放器，通過釋放器來啟動(dòng)后門程序。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，PowerExchange 使用 PowerShell 編寫，使用電子郵件附件的文本文件進(jìn)行命令和控制 (C2) 通信。它允許攻擊者運(yùn)行任意載荷并從系統(tǒng)上傳文件和從系統(tǒng)下載文件。

自定義植入程序通過使用 Exchange Web 服務(wù) (?EWS?) API 連接到受害者的 Exchange 服務(wù)器，并使用服務(wù)器上的郵箱發(fā)送和接收來自其操作員的編碼命令來實(shí)現(xiàn)這一點(diǎn)。

安全研究人員表示，可以從互聯(lián)網(wǎng)訪問 Exchange 服務(wù)器，從而節(jié)省了從組織中的設(shè)備到外部服務(wù)器的 C2 通信。該后門還充當(dāng)攻擊者掩飾自己的代理。

也就是說，目前尚不清楚攻擊者如何設(shè)法獲取域憑據(jù)以連接到目標(biāo) Exchange 服務(wù)器的。安全研究人員的調(diào)查還發(fā)現(xiàn) Exchange 服務(wù)器被植入了多個(gè) Webshell 后門，其中之一稱為ExchangeLeech（又名 System.Web.ServiceAuthentication.dll），以實(shí)現(xiàn)持久遠(yuǎn)程訪問并竊取用戶憑據(jù)。

PowerExchange 被懷疑是TriFive的升級(jí)版，此前伊朗國家級(jí)攻擊者 APT34（又名 OilRig）曾使用它入侵針對(duì)科威特政府機(jī)構(gòu)的攻擊。

此外，通過面向互聯(lián)網(wǎng)的 Exchange 服務(wù)器進(jìn)行通信是 OilRig 參與者采用的一種久經(jīng)考驗(yàn)的策略，正如在Karkoff 和 MrPerfectionManager的案例中觀察到的那樣。

極牛攻防實(shí)驗(yàn)室表示，將受害者的 Exchange 服務(wù)器用于 C2 通道允許后門與合法流量混合，從而確保攻擊者可以輕松避免目標(biāo)組織基礎(chǔ)設(shè)施內(nèi)外幾乎所有基于網(wǎng)絡(luò)的檢測(cè)和補(bǔ)救措施。