黄色网站入口国产美女,精品国产欧美另类一区,国产一区二区美女自慰,日日摸夜夜添无码国产

選擇你喜歡的標簽
我們會為你匹配適合你的網(wǎng)址導(dǎo)航

    確認 跳過

    跳過將刪除所有初始化信息

    您的位置:0XUCN > 資訊 > 安全
    新聞分類

    黑客組織利用后門攻擊了Microsoft Exchange

    安全 PRO 作者:婭米 2020-11-12 11:20

    原文《xHunt 黑客組織利用兩個后門攻擊了 Microsoft Exchange》

    Palo Alto Networks安全專家在調(diào)查在Kuwait發(fā)生的對Microsoft Exchange服務(wù)器的網(wǎng)絡(luò)攻擊事件時,發(fā)現(xiàn)了兩個前所未有的Powershell后門。

    專家將這次網(wǎng)絡(luò)攻擊歸因于xHunt(又名Hive0081),該黑客組織于2018年首次被發(fā)現(xiàn)。在最近的攻擊活動中,黑客使用了兩個新型后門,分別為“ TriFive”和“ Snugy”,后者是基于PowerShell后門(CASHY200)的變體。

    專家分析:“ TriFive和Snugy后門是PowerShell腳本,它們使用不同的命令和控制(C2)通道與黑客進行通信,從而提供對受害Exchange服務(wù)器的訪問。TriFive后門基于電子郵件,使用Exchange Web Services(EWS)在受感染電子郵件帳戶的Deleted Items文件夾中創(chuàng)建草稿?!?

    “ Snugy后門使用DNS通道在受害服務(wù)器上運行命令。我們將概述這兩個后門,因為它們不同于之前使用的工具?!?/p>

    在發(fā)布報告時,專家們尚未確定該黑客如何訪問Exchange服務(wù)器。

    TriFive使用了來自目標組織的合法帳戶名和憑據(jù),這意味著該黑客已在部署后門程序之前竊取了帳戶。黑客登錄到相同的合法電子郵件帳戶,并創(chuàng)建主題為“ 555s”的電子郵件草稿,其中包括加密和base64編碼格式的命令。

    通過將編碼后的密文設(shè)置為電子郵件草稿的郵件正文,將電子郵件再次以“ 555s”為主題保存在“已刪除郵件”文件夾中,后門會將命令結(jié)果發(fā)送回黑客?;赟nugy powerShell的后門使用DNS通道在受感染Exchange服務(wù)器上運行命令。?黑客利用Snugy后門來獲取系統(tǒng)信息,運行命令并從受感染的服務(wù)器中竊取數(shù)據(jù)。

    研究人員共享了危害指標(IoC),以允許管理員檢查其環(huán)境是否受到威脅,xHunt黑客組織的活動仍在繼續(xù)。

    消息來源:securityaffairs;封面來自網(wǎng)絡(luò);譯者:小江。

    本文由?HackerNews.cc?翻譯整理。

    0XU.CN

    [超站]友情鏈接:

    四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
    關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

    圖庫
    公眾號 關(guān)注網(wǎng)絡(luò)尖刀微信公眾號
    隨時掌握互聯(lián)網(wǎng)精彩
    贊助鏈接