นักวิจัยด้านความปลอดภัยตรวจพบการโจมตีเซิร์ฟเวอร์ Microsoft Exchange พบกลุ่ม xHunt อยู่เบื้องหลังการโจมตี

นักวิจัยด้านความปลอดภัย Unit 42 จาก Palo Alto Networks ได้ตรวจพบการโจมตีเซิร์ฟเวอร์ Microsoft Exchange ขององค์กรของรัฐบาลคูเวต โดยในกิจกรรมการโจมตีดังกล่าวนักวิจัยได้พบแบ็คดอร์ Powershell สองตัวที่ไม่เคยเห็นมาก่อน ซึ่งนักวิจัยพบการโจมตีนี้มีความเชื่อมโยงกับกลุ่มภัยคุกคาม xHunt

นักวิจัยกล่าวว่าแบ็คดอร์ที่ถูกค้นพบใหม่ทั้งสองตัวถูกติดตั้งบนเซิร์ฟเวอร์ Microsoft Exchange ที่ถูกบุกรุก โดยแบ็คดอร์ถูกพบใน Scheduled tasks ที่ถูกสร้างโดยผู้โจมตี ซึ่งไฟล์ที่ถูกพบจะเรียกพยายามใช้สคริปต์ PowerShell ที่เป็นอันตราย โดยชื่อของไฟล์แบ็คดอร์ทั้งสองตัวนั้นคือ “TriFive" และ "Snugy"

แบ็คดอร์ตัวแรก TriFive เป็นแบ็คดอร์ที่ใช้ในการเข้าถึงเซิร์ฟเวอร์ Microsoft Exchange โดยใช้การเข้าสู่อินบ็อกของผู้ใช้ที่อยู่ภายในระบบและจะทำการรันสคริปต์ PowerShell จาก Draft อีเมลภายในโฟลเดอร์อีเมลที่ถูกลบ

แบ็คดอร์ตัวที่สอง Snugy เป็นแบ็คดอร์ที่ใช้ในการทำ DNS-tunneling เพื่อเรียกใช้คำสั่งบนเซิร์ฟเวอร์ที่ถูกบุกรุก โดย DNS tunneling จะช่วยให้ผู้โจมตีสามารถทำการเชื่อมต่อข้อมูลโดยใช้โปรโตคอล DNS ซึ่งจะทำให้ผู้โจมตีสามารถใช้เป็นช่องทางในการสื่อสารกับเซิร์ฟเวอร์ที่เป็นอันตรายภายนอกของผู้โจมตี

นักวิจัยยังกล่าวอีกว่าโค้ดต่างๆ ที่อยู่ภายในแบ็คดอร์ Snugy นั้นมีความคล้ายคลึงกับแบ็คดอร์ CASHY200 ที่ถูกใช้โดยกลุ่ม xHunt ซึ่งนักวิจัยได้สันนิษฐานการโจมตีครั้งนี้น่าจะมีความเกี่ยวโยงกัน ทั้งนี้ผู้ใช้ควรทำการตรวจสอบอีเมลทุกครั้งก่อนทำการคลิกลิงก์หรือเปิดไฟล์ที่แนบมากับอีเมลเพื่อป้องกันการฟิชชิงด้วยอีเมล

ที่มา: threatpost.