Backdoors - DNS Tunneling
Palo Alto Networks entdeckt neue Backdoors bei xHunt-Attacken
Missbrauch gelöschter E-Mail-Entwürfe und DNS-Tunneling für Command-and-Control-Angriffe
Palo Alto Networks hat neue Erkenntnisse zur xHunt-Kampagne veröffentlicht. Die dahintersteckende Gruppe an Cyberkriminellen hat mehrmals die kuwaitische Regierung sowie Reedereien und Transportunternehmen ins Visier genommen. Kürzlich haben die IT-Security-Experten Hinweise darauf erhalten, dass die Angreifer einen Microsoft Exchange Server bei einem Unternehmen in Kuwait kompromittiert haben.
Noch ist unklar, wie die Angreifer Zugang zu diesem Exchange-Server erlangt haben. Ausgehend von den Zeitstempeln der geplanten Aufgaben im Zusammenhang mit dem Sicherheitsvorfall ist jedoch davon auszugehen, dass die Bedrohungsakteure Zugriff auf den Exchange-Server erhalten hatten. Die von Palo Alto Networks beobachtete Aktivität umfasste zwei Backdoors. Eine davon haben die Forscher TriFive benannt und die andere ist eine Variante von CASHY200 namens Snugy. Ebenfalls erfassten die Security-Forscher eine Web-Shell, die sie BumbleBee benannten.
Bei den TriFive- und Snugy-Backdoors handelt es sich um PowerShell-Skripte, die den Zugriff auf den kompromittierten Exchange-Server ermöglichen, wobei verschiedene Befehls- und Steuerungskanäle (C2) zur Kommunikation verwendet werden. Die TriFive-Backdoor nutzt einen E-Mail-basierten Kanal, der Exchange Web Services (EWS) verwendet, um Entwürfe innerhalb des Ordners "Gelöschte Objekte" eines kompromittierten E-Mail-Kontos zu erstellen. Die Snugy-Backdoor nutzt einen DNS-Tunneling-Kanal, um Befehle auf dem kompromittierten Server auszuführen. Die Analyse der mit der BumbleBee-Web-Shell verbundenen Aktivität verschaffte den Forschern einen Einblick in die Taktiken, Techniken und Verfahren der Bedrohungsakteure bei der Interaktion mit kompromittierten Servern.
Die Gruppe von Cyberkriminellen zeigt die Fähigkeit, ihre Tools mit leicht veränderten Funktionen und Kommunikationskanälen so anzupassen, dass sie nicht entdeckt wird. So hat nur eine Variante des Hisoka-Tools, das in der xHunt-Kampagne verwendet wurde, E-Mail-Entwürfe und ein kompromittiertes E-Mail-Konto für C2-Kommunikation genutzt. Es scheint, dass diese Gruppe beginnt, auf einen E-Mail-basierten Kommunikationskanal zurückzugreifen, wenn sie bereits Zugang zu einem kompromittierten Exchange-Server eines Angriffsziels erlangt hat.