Бэкдоры TriFive и Snugy использовали скрытые каналы для связи с C&C-сервером злоумышленников.
Исследователи безопасности из подразделения Unit 42 компании Palo Alto Networks рассказали о двух бэкдорах, которые преступники из группировки xHunt использовали во время атак на сервер Microsoft Exchange одной из правительственных организаций в Кувейте в августе 2019 года.
В ходе анализа эксперты выяснили, что злоумышленники обновили свой арсенал инструментов. Хакеры использовали два бэкдора: один получил название TriFive, а другой является вариантом ранее обнаруженного бэкдора на основе PowerShell (получившего название CASHY200), который исследователи назвали Snugy.
«Оба бэкдора, установленные на взломанном сервере Microsoft Exchange правительственной организации Кувейта, использовали скрытые каналы для связи с C&C-сервером, в частности DNS-туннелирование и канал на основе электронной почты, используя черновики в папке «Удаленные» на скомпрометированной учетной записи электронной почты», — сообщили эксперты.
Пока остается неизвестным, как преступники получили доступ к серверу Exchange. Впервые об атаке стало известно в сентябре. Подозрительные команды на рассматриваемом сервере Exchange выполнялись через процесс w3wp.exe служб IIS. В ходе анализа сервера были обнаружены две запланированные задачи (ResolutionHosts и ResolutionsHosts), созданные злоумышленниками задолго до даты хищения логов, которые предназначались для запуска вредоносных PowerShell-скриптов.
Исследователи полагают, что злоумышленники использовали две запланированные задачи для обеспечения персистентности, поскольку они повторно запускали PowerShell-скрипты (один каждые 30 минут, а другой каждые 5 минут).
По словам исследователей, бэкдор TriFive обеспечивает доступ к серверу Exchange путем авторизации в почтовый ящик легитимного пользователя и получения PowerShell-скрипта из черновика электронной почты в папке удаленных писем. Данная тактика уже использовалась злоумышленниками в качестве способа связи с C&C-сервером во время вредоносной кампании в сентябре 2019 года.
«В образце TriFive использовались легитимные учетные данные организации. Это говорит о том, что злоумышленник похитил логины и пароли аккаунта до установки бэкдора TriFive», — отметили эксперты.
Другой бэкдор на основе PowerShell, Snugy, использует канал DNS-туннелирования для выполнения команд на взломанном сервере. DNS-туннелирование позволяет злоумышленникам обмениваться данными с использованием протокола DNS для автоматического извлечения данных или для установления канала связи с внешним сервером.
По словам исследователей, вредоносная кампания xHunt продолжается и злоумышленники все еще совершают атаки на кувейтские организации.
Сбалансированная диета для серого вещества