原文《xHunt 黑客組織利用兩個后門攻擊了 Microsoft Exchange》

Palo Alto Networks安全專家在調(diào)查在Kuwait發(fā)生的對Microsoft Exchange服務(wù)器的網(wǎng)絡(luò)攻擊事件時，發(fā)現(xiàn)了兩個前所未有的Powershell后門。

專家將這次網(wǎng)絡(luò)攻擊歸因于xHunt（又名Hive0081），該黑客組織于2018年首次被發(fā)現(xiàn)。在最近的攻擊活動中，黑客使用了兩個新型后門，分別為“ TriFive”和“ Snugy”，后者是基于PowerShell后門（CASHY200）的變體。

專家分析：“ TriFive和Snugy后門是PowerShell腳本，它們使用不同的命令和控制（C2）通道與黑客進行通信，從而提供對受害Exchange服務(wù)器的訪問。TriFive后門基于電子郵件，使用Exchange Web Services（EWS）在受感染電子郵件帳戶的Deleted Items文件夾中創(chuàng)建草稿?！?

“ Snugy后門使用DNS通道在受害服務(wù)器上運行命令。我們將概述這兩個后門，因為它們不同于之前使用的工具?！?/p>

在發(fā)布報告時，專家們尚未確定該黑客如何訪問Exchange服務(wù)器。

TriFive使用了來自目標組織的合法帳戶名和憑據(jù)，這意味著該黑客已在部署后門程序之前竊取了帳戶。黑客登錄到相同的合法電子郵件帳戶，并創(chuàng)建主題為“ 555s”的電子郵件草稿，其中包括加密和base64編碼格式的命令。

通過將編碼后的密文設(shè)置為電子郵件草稿的郵件正文，將電子郵件再次以“ 555s”為主題保存在“已刪除郵件”文件夾中，后門會將命令結(jié)果發(fā)送回黑客?；赟nugy powerShell的后門使用DNS通道在受感染Exchange服務(wù)器上運行命令。?黑客利用Snugy后門來獲取系統(tǒng)信息，運行命令并從受感染的服務(wù)器中竊取數(shù)據(jù)。

研究人員共享了危害指標（IoC），以允許管理員檢查其環(huán)境是否受到威脅，xHunt黑客組織的活動仍在繼續(xù)。

消息來源：securityaffairs；封面來自網(wǎng)絡(luò)；譯者：小江。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/