Notícias de dispositivos móveis, gadgets, aplicativos Android

xHunt Hackers usa novo backdoor para atacar servidores Exchange

Os hackers do xHunt usam o novo backdoor para atacar servidores Exchange e a campanha xHunt tamb√©m tem como alvo organiza√ß√Ķes do Kuwait para comprometer sistemas. Uma das ferramentas utilizadas √© o CASHY200, que √© um backdoor baseado em Powershell que se comunica com um servidor C2 usando tunelamento DNS.

O que é CASHY200?

CASHY200 funciona com base em scripts PowerShell associados à campanha maior de malware xHunt.

ThisCASHY200 é entregue por meio de anexos maliciosos do Microsoft Office distribuídos por meio de campanhas de phishing por e-mail. Que então usa o Exchange Web Services (EWS) para criar rascunhos na pasta Itens Excluídos de uma conta de e-mail comprometida.

Quando o e-mail for aberto, um script preliminar nos anexos executará o CASHY200 diretamente na memória.

Se a execução for bem-sucedida, o CASHY200 se conectará a um comando e controlará o servidor, e usará um canal de tunelamento DNS para ignorar o monitoramento de rede padrão e executar comandos com êxito no servidor comprometido.

As variantes CASHY200 também têm a capacidade de extrair arquivos, bem como instalar cargas secundárias.

Plataformas afetadas

Todas as vers√Ķes da Microsoft Windows s√£o conhecidos por serem afetados

Domínios CASHY200 C2

janelas64x[.]com
winx64-microsoft[.]com
firewall suporta[.]com
windows-atualiza√ß√Ķes[.]com

Amostras encontradas

Em 1¬ļ de maio e 3 de junho de 2018, foram encontrados os primeiros execut√°veis ‚Äč‚Äčinstalando e executando o CASHY200 PowerShell que se comunicava com os dom√≠nios windowsupdates[.]com e firewall suporta[.]com.

Foi determinado que os documentos do Word foram usados ‚Äč‚Äčpara entregar cargas do PowerShell usando firewallsupports[.]com como um C2 para atingir organiza√ß√Ķes governamentais no Kuwait, tamb√©m foi observado que os atores da amea√ßa comprometeram um Microsoft Exchange Server em uma organiza√ß√£o no Kuwait que, de acordo com o carimbo de data e hora, prev√™ ter ocorrido em ou antes de 22 de agosto de 2019.

N√≥s recomendamos:  7 Melhores aplicativos de fotografia de paisagem para Android e iPhone

Apesar de inicialmente ter sido fortemente direccionado para organiza√ß√Ķes governamentais, de transporte e de navega√ß√£o no M√©dio Oriente, parece agora estar a afectar organiza√ß√Ķes em toda a Europa.

Precau√ß√Ķes que podem ser tomadas

Dom√≠nios C2 como windows64x[.]com, firewall suporta[.]com, windows-atualiza√ß√Ķes[.]com e winx64-microsoft[.]com pode ser bloqueado.

Todos os protocolos de tunelamento CASHY200 podem ser bloqueados pela Segurança DNS.

Voc√™ pode nos seguir em Linkedin, Twitter, Facebook para atualiza√ß√Ķes di√°rias de not√≠cias sobre seguran√ßa cibern√©tica e hackers.

Leia também

Hackers usando isca de treinamento COVID-19 para atacar usu√°rios do Office 365

Hackers ignorariam a autenticação multifator para obter acesso total aos serviços do Microsoft 365