黑客组织利用后门攻击了Microsoft Exchange

原文《xHunt 黑客组织利用两个后门攻击了 Microsoft Exchange》

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时，发现了两个前所未有的Powershell后门。

专家将这次网络攻击归因于xHunt（又名Hive0081），该黑客组织于2018年首次被发现。在最近的攻击活动中，黑客使用了两个新型后门，分别为“ TriFive”和“ Snugy”，后者是基于PowerShell后门（CASHY200）的变体。

专家分析：“ TriFive和Snugy后门是PowerShell脚本，它们使用不同的命令和控制（C2）通道与黑客进行通信，从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件，使用Exchange Web Services（EWS）在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。” 

“ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门，因为它们不同于之前使用的工具。”

在发布报告时，专家们尚未确定该黑客如何访问Exchange服务器。

TriFive使用了来自目标组织的合法帐户名和凭据，这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户，并创建主题为“ 555s”的电子邮件草稿，其中包括加密和base64编码格式的命令。

通过将编码后的密文设置为电子邮件草稿的邮件正文，将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中，后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息，运行命令并从受感染的服务器中窃取数据。

研究人员共享了危害指标（IoC），以允许管理员检查其环境是否受到威胁，xHunt黑客组织的活动仍在继续。

消息来源：securityaffairs；封面来自网络；译者：小江。

本文由 HackerNews.cc 翻译整理。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/