
黑客組織利用后門攻擊了Microsoft Exchange
原文《xHunt 黑客組織利用兩個后門攻擊了 Microsoft Exchange》
Palo Alto Networks安全專家在調(diào)查在Kuwait發(fā)生的對Microsoft Exchange服務(wù)器的網(wǎng)絡(luò)攻擊事件時,發(fā)現(xiàn)了兩個前所未有的Powershell后門。
專家將這次網(wǎng)絡(luò)攻擊歸因于xHunt(又名Hive0081),該黑客組織于2018年首次被發(fā)現(xiàn)。在最近的攻擊活動中,黑客使用了兩個新型后門,分別為“ TriFive”和“ Snugy”,后者是基于PowerShell后門(CASHY200)的變體。
專家分析:“ TriFive和Snugy后門是PowerShell腳本,它們使用不同的命令和控制(C2)通道與黑客進行通信,從而提供對受害Exchange服務(wù)器的訪問。TriFive后門基于電子郵件,使用Exchange Web Services(EWS)在受感染電子郵件帳戶的Deleted Items文件夾中創(chuàng)建草稿?!?
“ Snugy后門使用DNS通道在受害服務(wù)器上運行命令。我們將概述這兩個后門,因為它們不同于之前使用的工具?!?/p>
在發(fā)布報告時,專家們尚未確定該黑客如何訪問Exchange服務(wù)器。
TriFive使用了來自目標組織的合法帳戶名和憑據(jù),這意味著該黑客已在部署后門程序之前竊取了帳戶。黑客登錄到相同的合法電子郵件帳戶,并創(chuàng)建主題為“ 555s”的電子郵件草稿,其中包括加密和base64編碼格式的命令。
通過將編碼后的密文設(shè)置為電子郵件草稿的郵件正文,將電子郵件再次以“ 555s”為主題保存在“已刪除郵件”文件夾中,后門會將命令結(jié)果發(fā)送回黑客?;赟nugy powerShell的后門使用DNS通道在受感染Exchange服務(wù)器上運行命令。?黑客利用Snugy后門來獲取系統(tǒng)信息,運行命令并從受感染的服務(wù)器中竊取數(shù)據(jù)。
研究人員共享了危害指標(IoC),以允許管理員檢查其環(huán)境是否受到威脅,xHunt黑客組織的活動仍在繼續(xù)。
消息來源:securityaffairs;封面來自網(wǎng)絡(luò);譯者:小江。
本文由?HackerNews.cc?翻譯整理。
[超站]友情鏈接:
四季很好,只要有你,文娛排行榜:https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全,洞悉企業(yè)級服務(wù)市場:https://www.ijiandao.com/

隨時掌握互聯(lián)網(wǎng)精彩
- 1 看總書記關(guān)心的清潔能源這樣發(fā)電 7904566
- 2 今年最強臺風來襲 7809798
- 3 澳加英宣布承認巴勒斯坦國 7712247
- 4 長春航空展這些“首次”不要錯過 7616986
- 5 43歲二胎媽媽患阿爾茨海默病 7521340
- 6 iPhone 17橙色斜挎掛繩賣斷貨 7424235
- 7 女子花10萬云養(yǎng)豬生重病難退錢 7333513
- 8 中國消失的森林正“全盤復(fù)活” 7237634
- 9 三所“零近視”小學帶來的啟示 7137987
- 10 老奶奶去世3年 鄰居幫打掃門前落葉 7043438