CASHY200

CASHY200 è il nome dato dai ricercatori a una minaccia backdoor basata su PowerShell. Questo particolare malware è stato rilevato grazie alla sua infrastruttura Command-and-Control (C2, C&C) che utilizza un dominio - "windows64x.com", che è stato osservato come parte di una campagna di attacco contro le organizzazioni del Kuwait dei settori dei trasporti e delle spedizioni in precedenza. Anche il profilo degli obiettivi sembra essere sostanzialmente lo stesso, ma questa volta le vittime erano organizzazioni governative del Kuwait. Sebbene le sovrapposizioni sembrino essere troppo specifiche per essere accidentali, non è possibile affermare con la certezza del 100% che gli stessi attori della minaccia siano anche gli hacker dietro CASHY200.

Il vettore di infezione utilizzato per fornire CASHY200 è per lo più probabilmente documenti Word armati propagati attraverso la diffusione di e-mail di phishing. I documenti minacciosi utilizzavano diversi nomi in arabo, mentre uno è stato consegnato come "Update list soft-Ad.docm."

Quando viene distribuito sul computer di destinazione, CASHY200 avvia la comunicazione con i suoi server C2 tramite il tunneling DNS. Più specificamente, la minaccia invia query DNS A al server dell'aggressore. Il traffico in entrata viene analizzato con le risposte DNS per i comandi applicabili mentre i risultati successivi vengono restituiti nuovamente ai server tramite query DNS. È stato osservato che CASHY200 utilizza modificatori generati in modo casuale archiviati nel registro in HKCU \ Software \ Microsoft \ Cashe \ index.

Le versioni successive di CASHY200 sono in grado di riconoscere due comandi separati emessi dai server C2. Il primo vede la minaccia eseguire il comando "hostname" e quindi esfiltrare il risultato. L'altro possibile comando dice a CASHY200 di eseguire i comandi ottenuti dalle successive query DNS, con i risultati ancora una volta esfiltrati al C2 attraverso il tunneling DNS.