CASHY200
Update zu xHunt: PowerShell-Backdoor kommuniziert über DNS-Tunneling
Palo Alto Networks berichtete vor wenigen Tagen über die xHunt-Kampagne, die sich gegen Angriffsziele in Kuwait richtete. Die Angreifer setzten dabei mehrere benutzerdefinierte Tools zur Kompromittierung von Systemen ein. Palo Alto Networks hat nun ein weiteres benutzerdefiniertes Tool entdeckt, das „CASHY200“ benannt wurde. Hierbei handelt es sich um eine PowerShell-basierte Backdoor, die über DNS-Tunneling mit einem C2-Server kommuniziert. Die IT-Security-Forscher von Palo Alto Networks haben durch Open-Source-Sammlung Beweise dafür gefunden, dass diese Hackergruppe CASHY200 einsetzte, um kuwaitische Regierungsorganisationen anzugreifen.
Basierend auf der eigenen Telemetrie und seinem DNS-Sicherheitsdienst konnte Palo Alto Networks zuletzt einen weiteren Angriff auf eine kuwaitische Organisation größtenteils nachvollziehen. Alle diese Entdeckungen deuten darauf hin, dass diese Angreifer bereits seit dem Frühjahr 2018 gegen kuwaitische Organisationen aktiv ist und die Aktivitäten in diesem Jahr fortsetzte. Ins Visier genommen wurden bislang sowohl Regierungsinstitutionen als auch Unternehmen der Schifffahrts- und Transportbranche.
Die IT-Sicherheitsanalysten von Palo Alto Networks haben im September 2019 einen Host in Kuwait beobachtet, der mit der Windows64x[.]com-Domain in Verbindung steht, die das gleiche DNS-Tunneling-Protokoll wie die CASHY200-Nutzlast verwendet. Die Kommunikation zu dieser Domain wurde durch den DNS-Sicherheitsdienst von Palo Alto Networks blockiert, so dass der Angreifer nicht mehr über diesen DNS-Tunnel mit seiner Nutzlast kommunizieren kann.
