Especialistas en ciberseguridad reportan el hallazgo de dos backdoors PowerShell jamás detectados y aparentemente usados en el ataque a los servidores Microsoft Exchange de una organización con sede en Kuwait.
Estos ataques están relacionados con un grupo de hackers conocido como xHunt, detectado por primera vez en 2018 y que en el pasado lanzó una serie de ataques dirigidos al gobierno de Kuwait, así como a organizaciones de envío y transporte. Además, los más recientes reportes indican que este grupo de hacking ha actualizado su arsenal malicioso.
Los actores de amenazas usaron los dos backdoors descubiertos, conocidos como TriFive y Snugy. Ambos ataques fueron realizados contra un servidor Exchange comprometido de una organización gubernamental de Kuwait usando canales encubiertos para las comunicaciones del servidor C&C.
TriFive
Este backdoor proporciona acceso al servidor Exchange al iniciar sesión en la bandeja de entrada de un usuario legítimo y obtener un script de PowerShell de un borrador de correo electrónico dentro de la carpeta de correos electrónicos eliminados. Este ataque ha sido utilizado por otros grupos de hacking como un método de comunicación entre los hackers y el sistema comprometido.
“La muestra de TriFive utilizó un nombre de cuenta legítimo y credenciales de la organización atacada”, menciona el reporte de los especialistas. Para emitir los comandos al backdoor, los actores de amenazas deben iniciar sesión en la misma cuenta email legítima y crear un borrador con una línea de asunto “555”, además de incluir el comando en un formato cifrado y codificado en base64.
Snugy
Por otra parte, el backdoor Snugy usa el canal de túnel DNS para ejecutar comandos en el servidor comprometido, lo que permite a los actores de amenzas intercambiar datos usando el protocolo DNS y extraer información de forma inadvertida. Los hackers maliciosos usan Snugy para obtener los nombres de host del sistema, ejecutar comandos maliciosos y extraer los resultados de estas búsquedas.
Los investigadores observaron varias superposiciones de código entre Snugy y el backdoor CASHY200 descubierto con anterioridad, incluyendo funciones similares que se utilizan para convertir cadenas en representación hexadecimal y generar una cadena de caracteres aleatorios en mayúsculas y minúsculas así como los controladores de comandos que utilizan el primer octeto de la dirección IP para determinar el comando a ejecutar y obtener el nombre de host y ejecutar un comando.
Finalmente, los expertos mencionaron que la campaña maliciosa de xHunt sigue activa mientras los actores de la amenaza lanzan ataques continuos contra múltiples organizaciones de Kuwait.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.