CASHY200

CASHY200 er navnet, som forskerne har givet en PowerShell-baseret bagdørstrussel. Denne særlige malware blev opdaget på grund af dens Command-and-Control (C2, C&C) infrastruktur ved hjælp af et domæne - 'windows64x.com', der blev observeret at være en del af en angrebskampagne mod Kuwait-organisationer fra transport- og skibsfartsindustrien tidligere. Målprofilen ser også ud til stort set at være den samme, men denne gang var ofrene kuwaitske regeringsorganisationer. Selvom overlapningerne ser ud til at være for specifikke til at være utilsigtede, er det ikke muligt med 100% sikkerhed at hævde, at de samme trusselsaktører også er hackerne bag CASHY200.

Infektionsvektoren, der bruges til at levere CASHY200, er sandsynligvis bevæbnet Word-dokumenter spredt gennem formidling af phishing-e-mails. De truende dokumenter brugte flere forskellige navne på arabisk, mens en blev leveret som 'Opdater liste soft-Ad.docm.'

Når den implementeres på den målrettede computer, starter CASHY200 kommunikation med sine C2-servere gennem DNS-tunneling. Mere specifikt udsender truslen DNS A-forespørgsler til angriberens server. Indgående trafik analyseres med DNS-svar for relevante kommandoer, mens de efterfølgende resultater leveres tilbage til serverne igen gennem DNS-forespørgsler. CASHY200 er blevet observeret at bruge tilfældigt genererede modifikatorer, der er gemt i registreringsdatabasen på HKCU \ Software \ Microsoft \ Cashe \ index.

Senere CASHY200-versioner kan genkende to separate kommandoer udstedt af C2-serverne. Den første ser truslen køre kommandoen 'værtsnavn' og exfiltrerer derefter resultatet. Den anden mulige kommando fortæller CASHY200 at køre kommandoer opnået fra efterfølgende DNS-forespørgsler, hvor resultaterne endnu engang bliver exfiltreret til C2 gennem DNS-tunneling.