Af Eskil Sørensen, 10/11/20
Bagdørene er blevet afdækket, efter at forskere for nyligt opdagede et angreb på Microsoft Exchange-servere hos en organisation i Kuwait. Det skriver ThreatPost.
Aktiviteten er bundet til trusselgruppe med navnet xHunt, som blev opdaget i 2018, og som tidligere har iværksat en række angreb rettet mod regeringen i Kuwait og skibs- og transportorganisationer. Imidlertid viser et angreb, der blev for nylig observeret, at der er blevet brugt to ny opdagede bagdøre: Den ene, som forskere kalder "TriFive", og den anden er en variant af en tidligere opdaget PowerShell bagdør, kaldet CASHY200, men som nu kaldes "Snugy."
Begge bagdøre, der blev installeret på den kompromitterede Exchange-server, brugte skjulte kanaler til Command-and-control kommunikation.
To bagdøre
Den første bagdør, TriFive, giver adgang til Exchange-serveren ved indlogning på en legitim brugers indbakke og få adgang til PowerShell-script fra email-kladde i den ”slettede” mappe. Denne taktik er tidligere blevet brugt af trusselsaktøren som en måde at kommunikere med den ondsindede command-and-control server.
Den anden PowerShell-baserede bagdør, Snugy, bruger en DNS tunnelkanal til at køre kommandoer på den kompromitterede server. DNS-tunnelling giver trusselsaktøreren mulighed for at udveksle data ved hjælp af DNS-protokollen, som kan bruges til at udtrække data eller til at etablere en kommunikationskanal med en ekstern ondsindet server.
Hvordan fik de adgang?
Det vides endnu ikke, hvordan aktørerne fik adgang til Exchange-serveren. Efter at have undersøgt serveren opdagede man, at to planlagte opgaver var blevet oprettet af trusselsaktøren, som begge skulle køre ondsindede PowerShell-scripts.
Scriptene blev gemt i to separate mapper på systemet, hvilket sandsynligvis er et forsøg på at undgå at begge bagdøre ville blive opdaget og fjerne.
Links:
https://threatpost.com/microsoft-exchange-attack-xhunt-backdoors/161041/