PowerExchange
PowerExchangeはバックドア型マルウェアです。
巧妙に設計された活動を展開します。
こんなステップで侵害が成り立ちます。
- ターゲット組織のだれかにメールが届く
- メールにはzipファイルが添付されている
- zipのなかにはpdfのアイコンを設定されたexeファイルが入っている
- pdfに見えるファイルをダブルクリックするとexeが実行される
- pdfを開くのが失敗したように感じるエラーメッセージが表示される
初期感染活動に関連する人に見えるのはここまでです。
これで初期感染活動は完了しています。
この操作により、.Netで書かれたマルウェアが設置され、5分毎に定期実行されるタスクが設定されます。
このマルウェアはPowerShellで書かれたマルウェアを起動します。
このPowerShellで書かれたマルウェアがPowerExchangeです。
- PowerExchangeからC2への情報の送信
マルウェアは自分に埋め込まれた資格情報を使って、外部にメール送信します。
このメールが送信されることで、特定のマルウェアがどこのExchange環境に潜伏できたかをC2は把握できます。
この段階以降、マルウェアオペレーターは潜伏したバックドアに指令を出すことができる状態になります。 - C2からPowerExchangeへの指令の伝達
オペレーターはメールを書きます。
送信先は侵入に成功したPowerExchangeが読んでいるメールボックスです。
指令メールには添付ファイルがついています。
添付ファイルはBase64でエンコードされています。
その添付データをバックドアはデコードし、内容を実行します。
指令内容は、任意のコマンドの実行、C2からのファイルの入手、C2へのファイルの送信、の3つです。
このようにPowerExchangeはC2との通信に侵害環境のExchangeを使います。
Exchangeを使うことでマルウェアが直接外部と通信することを避けることができるので、発見が難しくなります。
また、マルウェア本体も常時起動しているわけではなく一連の動作を完了すると終了する動きをします。
常駐しなくてもスケジュールで継続動作できる仕組みですので、常駐する必要がないのです。
実に巧妙な設計になっています。
設置されてしまったら、この脅威の存在に気付くことは容易ではなさそうです。
そもそもとして、感染しないようにすることが重要ということに思えます。
ところで、あなたの今開こうとしているそのpdfファイルは、本当にpdfファイルですか?
参考記事(外部リンク):Operation “Total Exchange”: New PowerExchange Backdoor
Discovered in the UAE
www.fortinet.com/blog/threat-research/operation-total-exchange-backdoor-discovered
