Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时,发现了两个前所未有的Powershell后门。
专家将这次网络攻击归因于xHunt(又名Hive0081),该黑客组织于2018年首次被发现。在最近的攻击活动中,黑客使用了两个新型后门,分别为“ TriFive”和“ Snugy”,后者是基于PowerShell后门(CASHY200)的变体。
专家分析:“ TriFive和Snugy后门是PowerShell脚本,它们使用不同的命令和控制(C2)通道与黑客进行通信,从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件,使用Exchange Web Services(EWS)在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”
“ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门,因为它们不同于之前使用的工具。”
在发布报告时,专家们尚未确定该黑客如何访问Exchange服务器。
TriFive使用了来自目标组织的合法帐户名和凭据,这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户,并创建主题为“ 555s”的电子邮件草稿,其中包括加密和base64编码格式的命令。
通过将编码后的密文设置为电子邮件草稿的邮件正文,将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中,后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息,运行命令并从受感染的服务器中窃取数据。
研究人员共享了危害指标(IoC),以允许管理员检查其环境是否受到威胁,xHunt黑客组织的活动仍在继续。
消息来源:securityaffairs;封面来自网络;译者:小江。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册