Хакеры из xHunt вооружились новыми PowerShell-бэкдорами
10 ноября 2020 года
Исследователи безопасности из подразделения Unit 42 компании Palo Alto Networks рассказали о двух бэкдорах, которые преступники из группировки xHunt использовали во время атак на сервер Microsoft Exchange одной из правительственных организаций в Кувейте в августе 2019 года.
В ходе анализа эксперты выяснили, что злоумышленники обновили свой арсенал инструментов. Хакеры использовали два бэкдора: один получил название TriFive, а другой является вариантом ранее обнаруженного бэкдора на основе PowerShell (получившего название CASHY200), который исследователи назвали Snugy.
«Оба бэкдора, установленные на взломанном сервере Microsoft Exchange правительственной организации Кувейта, использовали скрытые каналы для связи с C&C-сервером, в частности DNS-туннелирование и канал на основе электронной почты, используя черновики в папке «Удаленные» на скомпрометированной учетной записи электронной почты», — сообщили эксперты.
Пока остается неизвестным, как преступники получили доступ к серверу Exchange. Впервые об атаке стало известно в сентябре. Подозрительные команды на рассматриваемом сервере Exchange выполнялись через процесс w3wp.exe служб IIS. В ходе анализа сервера были обнаружены две запланированные задачи (ResolutionHosts и ResolutionsHosts), созданные злоумышленниками задолго до даты хищения логов, которые предназначались для запуска вредоносных PowerShell-скриптов.
Исследователи полагают, что злоумышленники использовали две запланированные задачи для обеспечения персистентности, поскольку они повторно запускали PowerShell-скрипты (один каждые 30 минут, а другой каждые 5 минут).
По словам исследователей, бэкдор TriFive обеспечивает доступ к серверу Exchange путем авторизации в почтовый ящик легитимного пользователя и получения PowerShell-скрипта из черновика электронной почты в папке удаленных писем. Данная тактика уже использовалась злоумышленниками в качестве способа связи с C&C-сервером во время вредоносной кампании в сентябре 2019 года.
«В образце TriFive использовались легитимные учетные данные организации. Это говорит о том, что злоумышленник похитил логины и пароли аккаунта до установки бэкдора TriFive», — отметили эксперты.
Другой бэкдор на основе PowerShell, Snugy, использует канал DNS-туннелирования для выполнения команд на взломанном сервере. DNS-туннелирование позволяет злоумышленникам обмениваться данными с использованием протокола DNS для автоматического извлечения данных или для установления канала связи с внешним сервером.
По словам исследователей, вредоносная кампания xHunt продолжается и злоумышленники все еще совершают атаки на кувейтские организации.
Источники править
Эта статья содержит материалы из статьи «Хакеры из xHunt вооружились новыми PowerShell-бэкдорами», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.