PowerExchange

ほぼこもセキュリティニュース By Terilogy Worx

PowerExchangeはバックドア型マルウェアです。
巧妙に設計された活動を展開します。
こんなステップで侵害が成り立ちます。

  • ターゲット組織のだれかにメールが届く
  • メールにはzipファイルが添付されている
  • zipのなかにはpdfのアイコンを設定されたexeファイルが入っている
  • pdfに見えるファイルをダブルクリックするとexeが実行される
  • pdfを開くのが失敗したように感じるエラーメッセージが表示される

初期感染活動に関連する人に見えるのはここまでです。
これで初期感染活動は完了しています。
この操作により、.Netで書かれたマルウェアが設置され、5分毎に定期実行されるタスクが設定されます。
このマルウェアはPowerShellで書かれたマルウェアを起動します。
このPowerShellで書かれたマルウェアがPowerExchangeです。

  • PowerExchangeからC2への情報の送信
    マルウェアは自分に埋め込まれた資格情報を使って、外部にメール送信します。
    このメールが送信されることで、特定のマルウェアがどこのExchange環境に潜伏できたかをC2は把握できます。
    この段階以降、マルウェアオペレーターは潜伏したバックドアに指令を出すことができる状態になります。
  • C2からPowerExchangeへの指令の伝達
    オペレーターはメールを書きます。
    送信先は侵入に成功したPowerExchangeが読んでいるメールボックスです。
    指令メールには添付ファイルがついています。
    添付ファイルはBase64でエンコードされています。
    その添付データをバックドアはデコードし、内容を実行します。
    指令内容は、任意のコマンドの実行、C2からのファイルの入手、C2へのファイルの送信、の3つです。

このようにPowerExchangeはC2との通信に侵害環境のExchangeを使います。
Exchangeを使うことでマルウェアが直接外部と通信することを避けることができるので、発見が難しくなります。
また、マルウェア本体も常時起動しているわけではなく一連の動作を完了すると終了する動きをします。
常駐しなくてもスケジュールで継続動作できる仕組みですので、常駐する必要がないのです。
実に巧妙な設計になっています。

設置されてしまったら、この脅威の存在に気付くことは容易ではなさそうです。
そもそもとして、感染しないようにすることが重要ということに思えます。

ところで、あなたの今開こうとしているそのpdfファイルは、本当にpdfファイルですか?

参考記事(外部リンク):Operation “Total Exchange”: New PowerExchange Backdoor
Discovered in the UAE

www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。