Actualités

Exchange Web Services : depuis au moins le 22 Août 2019, la campagne xHunt cible une organisation gouvernementale du Koweït !

Cela n’est pas nouveau : selon les investigations assidues de Palo Alto (Unit 42), la campagne xHunt bat son plein depuis, officiellement, le Printemps 2018. Depuis Juin 2019, une porte dérobée du nom de CASHY200 avait été mise en relief : à coup de command-and-control, le vecteur s’instillait dans des ensembles de données intégrés à un tunnel DNS. Exploitant PowerShell, la technique a été réutilisée, au moins, depuis le 22 Août 2019, en associant, en complément, les éléments supprimés de la messagerie électronique sous les Exchange Web Services (EWS).

 

 

Les portes dérobées TriFive et Snugy sont des scripts PowerShell qui fournissent un accès par porte dérobée au serveur Exchange compromis, en utilisant différents canaux de commande et de contrôle (C2) pour communiquer avec les acteurs. La porte dérobée TriFive utilise un canal basé sur la messagerie électronique qui utilise les services Web Exchange (EWS) pour créer des brouillons dans le dossier Éléments supprimés d’un compte de messagerie compromis. La porte dérobée Snugy utilise un canal de tunnel DNS pour exécuter des commandes sur le serveur compromis“, confirme l’équipe sécuritaire, dans un billet du 9 Novembre 2020.

 

Des fichiers ou tâches sont crées sous le serveur Exchange ( ResolutionHosts et ResolutionsHosts) sous “c:\Windows\System32\Tasks\Microsoft\Windows\WDI“. L’outil de diagnostic permet de visualiser et ajouter des informations relatives à des dysfonctionnements. Il est supposé que ce répertoire d’installation a été choisit pour mieux duper le système et faire croire que la charge malveillante était tout à fait légitime. Les deux portes dérobées se déclencheraient à intervalle régulier : toutes les 30 minutes pour TriFive contre toutes les 5 minutes pour Snugy.

 

Concernant TriFive, qui exploite de manière inédite les serveurs Exchange, la charge virale se fait par la création d’un mail en tant que brouillon, en sauvegardant ce dernier dans les éléments supprimés. Le mail intègre un format base64 (chiffrement) avec, en sujet, “555”. L’ensemble s’exécute via PowerShell : “le script ouvre le brouillon de l’e-mail, base64 décode le contenu du message corps de l’e-mail et décrypte le contenu décodé en soustrayant 10 de chaque caractère. Le script exécute ensuite le texte en clair résultant à l’aide de l’applet de commande Invoke-Expression (iex) intégrée de PowerShell. Après avoir exécuté le code PowerShell fourni, le script chiffrera les résultats en ajoutant 10 à chaque caractère et en encodant en base64 le texte chiffré. TriFive enverra ensuite les résultats de la commande à l’acteur en définissant le texte chiffré comme le corps du message d’un brouillon d’e-mail qu’il enregistrera dans le dossier Éléments supprimés“.

 

Pour ce qui est de Snugy, il s’agit d’une reproduction ou variante de CASHY200 puisque le tunnel DNS est utilisé comme vecteur d’attaque. Toujours via une attaque distante command-and-control permet de déclencher tout un tas d’actions ou de transmettre des évènements suivant les notifications déclenchées : il s’agit d’une armada bien rodée qui montre que l’outil ne date donc pas d’hier est a su proliférer depuis quelques années. En plus d’une adresse IP qui s’avère constante entre Mai et Novembre 2019, un nom de domaine est apparu : alforatsystem . com. Celui-ci était déjà sous les radars des chercheurs (avec d’autres) dès Mai 2018 et était rattaché à la campagne xHunt de l’époque. L’information confirme donc que les acteurs semblent être les mêmes derrière TriFive et Snugy… A veiller !

 

 

Source : Palo Alto (Unit 42) – 9 Novembre 2020 – xHunt : regain insécuritaire (variante CASHY200 via Snugy + nouvelle porte dérobée TriFive depuis brouillons-mails sous Exchange).

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0