Microsoft Exchange: une nouvelle attaque expose 2 portes dérobées

Deux portes dérobées Powershell ont été découvertes, après que des chercheurs aient récemment découvert une attaque contre des serveurs Microsoft Exchange dans une organisation au Koweït.

Cette activité est liée au groupe de cybercriminels xHunt, qui a été découvert pour la première fois en 2018 et a précédemment lancé une série d’attaques visant le gouvernement koweïtien, ainsi que les organisations de transport et de transport.

Cependant, une attaque observée plus récemment, le 22 août 2019 ou avant, basée sur les horaires de création des tâches planifiées associées à la violation, montre que les pirates informatiques ont mis à jour leur arsenal d’outils.

L’attaque a utilisé deux portes dérobées récemment découvertes: l’une que les chercheurs ont appelée «TriFive» et l’autre, une variante d’une porte dérobée basée sur PowerShell (appelée CASHY200) découverte précédemment, qu’ils ont appelée «Snugy».

«Les deux portes dérobées installées sur le serveur Exchange compromis d’une organisation gouvernementale koweïtienne utilisaient des canaux secrets pour les communications de commande-et-contrôle, en particulier le tunnel DNS et un canal basé sur la messagerie électronique utilisant des brouillons dans le dossier Éléments Supprimés d’un compte de messagerie compromis», ont déclaré des chercheurs de l’Unité 42 de Palo Alto.

L’attaque ciblant Microsoft Exchange

Les chercheurs ont déclaré qu’ils ne savaient pas encore comment les pirates ont eu accès au serveur Exchange. Ils ont pris connaissance de l’attaque pour la première fois au mois de Septembre, lorsqu’ils ont été informés que des pirates informatiques avaient piraté une organisation au Koweït. Le serveur Exchange en question avait exécuté des commandes suspectes via le processus de services Internet (IIS) w3wp.exe.

Après avoir étudié le serveur, «nous avons découvert deux tâches planifiées créées par le hacker bien avant les dates des logs collectés, qui exécuteraient toutes deux des scripts PowerShell malveillants», ont déclaré les chercheurs. «Nous ne pouvons pas confirmer que les pirates ont utilisé l’un ou l’autre de ces scripts PowerShell pour installer le shell Web, mais nous pensons que les individus malveillants avaient déjà accès au serveur avant les logs.»

Les deux tâches en question étaient «ResolutionHosts» et «ResolutionsHosts». Toutes deux ont été créés dans le dossier C:\Windows\System32\Tasks\Microsoft\Windows\WDI.

exchange

Les chercheurs pensent que les pirates ont utilisé ces deux tâches planifiées comme méthode de persistance, car ils ont exécuté les deux scripts PowerShell à plusieurs reprises (un toutes les 30 minutes et l’autre toutes les cinq minutes). Les commandes exécutées par les deux tâches tentent d’exécuter «splwow64.ps1» et «OfficeIntegrator.ps1» qui sont les deux portes dérobées.

«Les scripts ont été stockés dans deux dossiers séparés sur le système, ce qui est probablement une tentative pour éviter que les deux portes dérobées soient découvertes et supprimées», ont déclaré les chercheurs.

Porte dérobée TriFive

La première porte dérobée, TriFive, fournit un accès au serveur Exchange en se connectant à la boîte de réception d’un utilisateur légitime et en obtenant un script PowerShell à partir d’un brouillon d’e-mail dans le dossier des e-mails supprimés, selon les chercheurs. Cette tactique a déjà été utilisée par le pirate informatique comme moyen de communiquer avec le serveur de commande et de contrôle malveillant (C2) lors d’une campagne de Septembre 2019.

microsoft exchange

«L’échantillon de TriFive a utilisé un nom de compte légitime et des informations d’identification de l’organisation ciblée», ont déclaré les chercheurs. « Cela suggère que le pirate avait dérobé les informations d’identification du compte avant l’installation de la porte dérobée TriFive. »

Tout d’abord, pour émettre des commandes vers la porte dérobée, le hacker se connectait au même compte de messagerie légitime et créerait un brouillon d’e-mail avec un objet de «555», y compris la commande dans un format chiffré et encodé en base64.

Du côté de la porte dérobée, le script PowerShell se connecte ensuite à un compte de messagerie légitime sur le serveur Exchange compromis et vérifie dans le dossier « Éléments supprimés » les e-mails dont l’objet est « 555 ». Le script exécuterait ensuite la commande trouvée dans l’e-mail via PowerShell. Pour finir, ils renverraient les résultats de la commande au pirate informatique en définissant le texte chiffré et codé comme corps du message d’un brouillon d’e-mail, puis en enregistrant à nouveau l’e-mail dans le dossier Éléments Supprimés avec l’objet «555».

Snugy

L’autre porte dérobée basée sur PowerShell, Snugy, utilise un canal de tunnel DNS pour exécuter des commandes sur le serveur compromis. Le tunnel DNS permet aux hackers d’échanger des données à l’aide du protocole DNS, qui peut être utilisé pour extraire des données en mode silencieux ou pour établir un canal de communication avec un serveur malveillant externe.

Les pirates informatiques ont utilisé la porte dérobée Snugy pour obtenir le nom d’hôte du système, exécuter des commandes et exfiltrer les résultats. Les chercheurs ont pu obtenir les domaines requis via des requêtes ping envoyées depuis le serveur compromis.

«En se basant sur les données exfiltrées à partir des sous-domaines, nous avons pu déterminer les pirates exécutant ipconfig /all et dir», ont-ils déclaré. «Malheureusement, nous n’avions qu’un sous-ensemble de requêtes, de sorte que les données exfiltrées ont été tronquées, ce qui suggère également que les pirates ont probablement exécuté d’autres commandes que nous n’avons pas observées.»

Les chercheurs ont observé divers chevauchements de code entre Snugy et la porte dérobée CASHY200 précédemment découverte – y compris des fonctions similaires utilisées pour convertir des chaînes en représentation hexadécimale et générer une chaîne de caractères aléatoires majuscules et minuscules; ainsi que les gestionnaires de commandes utilisant le premier octet de l’adresse IP pour déterminer la commande à exécuter et pour obtenir le nom d’hôte et exécuter une commande.

Les chercheurs ont déclaré que la campagne de xHunt se poursuit alors que les cybercriminels lancent des attaques contre des organisations koweïtiennes.

En se basant sur ces portes dérobées récemment découvertes, «il semble que ce groupe commence à utiliser un canal de communication par courrier électronique alors qu’il a déjà accès à un serveur Exchange compromis dans une organisation», ont-ils déclaré.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x