0
0
Um ataque ao servidor Microsoft Exchange de uma organização no Kuwait revelou dois backdoors powershell nunca antes vistos.
Dois backdoors do Powershell nunca antes vistos foram descobertos, depois que pesquisadores descobriram recentemente um ataque a servidores do Microsoft Exchange em uma organização no Kuwait.
A atividade está ligada ao conhecido grupo de ameaças xHunt, que foi descoberto pela primeira vez em 2018 e já lançou uma série de ataques direcionados ao governo do Kuwait, bem como organizações de transporte e transporte.
No entanto, um ataque mais recentemente observado – em ou antes de 22 de agosto de 2019, com base nos carimbos de criação das tarefas programadas associadas à violação – mostra que os atacantes atualizaram seu arsenal de ferramentas.
O ataque usou dois backdoors recém-descobertos: um que os pesquisadores chamaram de “TriFive”, e o outro, uma variante de um backdoor baseado em PowerShell (apelidado de CASHY200),que eles chamavam de “Snugy”.
“Ambos os backdoors instalados no servidor exchange comprometido de uma organização governamental do Kuwait usaram canais secretos para comunicações C2, especificamente túneis de DNS e um canal baseado em e-mail usando rascunhos na pasta Itens Excluídos de uma conta de e-mail comprometida”, disseram pesquisadores da equipe da Unidade 42 de Palo Alto, segunda-feira.
O Ataque
Os pesquisadores disseram que ainda não têm visibilidade de como os atores tiveram acesso ao servidor Exchange. Eles tomaram conhecimento do ataque em setembro, quando foram notificados de que atores de ameaça invadiram uma organização no Kuwait. O servidor Exchange em questão tinha comandos suspeitos sendo executados através do processo de Internet Information Services (IIS) w3wp.exe.
Depois de investigar o servidor, “descobrimos duas tarefas programadas criadas pelo ator de ameaças bem antes das datas dos registros coletados, ambas executadas scripts de PowerShell maliciosos”, disseram os pesquisadores. “Não podemos confirmar que os atores usaram qualquer um desses scripts do PowerShell para instalar o web shell, mas acreditamos que os atores de ameaças já tinham acesso ao servidor antes dos registros.”
As duas tarefas em questão foram “ResoluçõesHosts” e “ResoluçõesHosts”. Ambos foram criados dentro da pasta c:\Windows\System32\Tasks\Microsoft\Windows\WDI.
Os pesquisadores acreditam que os atacantes usaram essas duas tarefas programadas como um método de persistência, pois executavam os dois scripts do PowerShell repetidamente (um a cada 30 minutos e o outro a cada cinco minutos). Os comandos executados pelas duas tarefas tentam executar “splwow64.ps1” e “OfficeIntegrator.ps1” – que são os dois backdoors.
“Os scripts foram armazenados em duas pastas separadas no sistema, o que provavelmente é uma tentativa de evitar que ambos os backdoors sejam descobertos e removidos”, disseram os pesquisadores.
TriFive Backdoor
O primeiro backdoor, TriFive, fornece acesso backdoor ao servidor Exchange, fazendo login na caixa de entrada de um usuário legítimo e obtendo um script PowerShell a partir de um rascunho de e-mail dentro da pasta de e-mails excluídos, de acordo com os pesquisadores. Essa tática já foi utilizada anteriormente pelo ator de ameaças como uma forma de se comunicar com o servidor de comando e controle malicioso (C2) em uma campanha de setembro de 2019, observaram.
O método de comunicação C2 baseado em e-mail. Crédito: Palo Alto Networks
“A amostra TriFive usou um nome de conta legítimo e credenciais da organização alvo”, disseram os pesquisadores. “Isso sugere que o ator de ameaças havia roubado as credenciais da conta antes da instalação do backdoor TriFive.”
Primeiro, para emitir comandos para o backdoor, o ator entraria na mesma conta de e-mail legítima e criaria um rascunho de e-mail com um assunto de “555”, incluindo o comando em um formato codificado e com base64.
No final do backdoor, o script PowerShell então faz login em uma conta de e-mail legítima no servidor Exchange comprometido e verifica a pasta “Itens Excluídos” para e-mails com um assunto de “555”. O script executaria o comando encontrado no e-mail via PowerShell. Finalmente, eles enviariam os resultados do comando de volta para o ator de ameaças, definindo o texto codificado como o corpo de mensagem de um rascunho de e-mail e salvando o e-mail novamente na pasta Itens Excluídos com o assunto de “555s”.
Snugy
O outro backdoor baseado no PowerShell, Snugy, usa um canal de tunelamento de DNS para executar comandos no servidor comprometido. O túnel DNS permite que os atores de ameaças troquem dados usando o protocolo DNS, que pode ser usado para extrair dados silenciosamente ou estabelecer um canal de comunicação com um servidor externo malicioso.
Os atores de ameaça usaram o backdoor Snugy para obter o nome de host do sistema, executar comandos e exfiltrar os resultados. Os pesquisadores foram capazes de obter os domínios consultados através de solicitações de ping enviadas do servidor comprometido.
“Com base nos dados exfiltrados de dentro dos subdomínios, conseguimos determinar que os atores executaram ipconfig /all e dir”, disseram eles. “Infelizmente, só tivemos um subconjunto de solicitações para que os dados exfiltrados fosse truncado, o que também sugere que os atores provavelmente executaram outros comandos que não observamos.”
Os pesquisadores observaram várias sobreposições de código entre Snugy e o backdoor CASHY200 anteriormente descoberto – incluindo funções semelhantes usadas para converter cordas em representação hexadícica e gerar uma sequência de caracteres aleatórios superiores e minúsculos; bem como manipuladores de comando usando o primeiro octeto do endereço IP para determinar o comando a ser executado e obter o nome do host e executar um comando.
Os pesquisadores disseram que a campanha xHunt continua à medida que os atores de ameaça lançam ataques contínuos contra organizações do Kuwait.
Com base nesses backdoors mais recentemente descobertos, avançando “parece que esse grupo está começando a usar um canal de comunicação baseado em e-mail quando eles já têm acesso a um servidor Exchange comprometido em uma organização”, disseram eles.
FONTE: THREATPOST