CASHY 200

CASHY200 is de naam die de onderzoekers hebben gegeven aan een op PowerShell gebaseerde backdoor-dreiging. Deze specifieke malware werd gedetecteerd vanwege zijn Command-and-Control (C2, C&C) -infrastructuur met behulp van een domein - 'windows64x.com', dat eerder werd waargenomen als onderdeel van een aanvalscampagne tegen Koeweitse organisaties uit de transport- en scheepvaartindustrie. Het profiel van de doelwitten lijkt ook grotendeels hetzelfde te zijn, maar dit keer waren de slachtoffers van Koeweitse overheidsorganisaties. Hoewel de overlappingen te specifiek lijken om toevallig te zijn, is het niet mogelijk om met 100% zekerheid te beweren dat dezelfde bedreigingsactoren ook de hackers achter CASHY200 zijn.

De infectievector die wordt gebruikt om CASHY200 af te leveren, zijn meestal bewapende Word-documenten die worden verspreid via de verspreiding van phishing-e-mails. De bedreigende documenten gebruikten verschillende namen in het Arabisch, terwijl een ervan werd afgeleverd als 'Update list soft-Ad.docm.'

Wanneer CASHY200 op de beoogde computer wordt geïmplementeerd, initieert het de communicatie met zijn C2-servers via DNS-tunneling. Meer specifiek verstuurt de dreiging DNS A-query's naar de server van de aanvaller. Binnenkomend verkeer wordt binnen DNS-antwoorden geparseerd voor toepasselijke opdrachten, terwijl de daaropvolgende resultaten weer worden teruggestuurd naar de servers via DNS-query's. Er is waargenomen dat CASHY200 willekeurig gegenereerde modifiers gebruikt die zijn opgeslagen in het register op HKCU \ Software \ Microsoft \ Cashe \ index.

Latere CASHY200-versies zijn in staat om twee afzonderlijke opdrachten van de C2-servers te herkennen. De eerste ziet dat de dreiging de opdracht 'hostnaam' uitvoert en vervolgens het resultaat exfiltreert. Het andere mogelijke commando vertelt CASHY200 om commando's uit te voeren die zijn verkregen uit opeenvolgende DNS-query's, waarbij de resultaten opnieuw worden geëxfiltreerd naar de C2 via DNS-tunneling.

Trending

Meest bekeken

Bezig met laden...