ក្រុមហេគឃ័រ xHunt ប្រើ Backdoor ដើម្បីវាយលុកទៅលើម៉ាស៊ីន Exchange Servers និងយុទ្ធនាការ xHunt ក៏បានកំណត់គោលដៅលើអង្គការគុយវ៉ែតដើម្បីសម្របសម្រួលលើប្រព័ន្ធនានា។
ឧបករណ៍មួយក្នុងចំណោមឧបករណ៍ដែលគេប្រើគឺ CASHY200 ដែលជាទ្វារខាងក្រោយដែលមានមូលដ្ឋានលើ Powershell មានជាប់ទាក់ទងជាមួយម៉ាស៊ីនមេ C2 ដោយប្រើ ច្រក DNS ។
តើអ្វីទៅជា CASHY200?
មេរោគ CASHY200 ធ្វើការនៅលើមូលដ្ឋាននៃស្គ្រីប PowerShell ដែលមានជាប់ទាក់ទងជាមួយនឹងយុទ្ធនាការមេរោគ xHunt។ ThisCASHY200 ត្រូវគេបញ្ជូនបន្តភ្ជាប់ទៅកម្មវិធី Microsoft ដែលមានគំនិតអាក្រក់និងធ្វើការវាយប្រហារលើយុទ្ធនាការ phishingតាមតាម
អ៊ីមែល។ ក្រោយមកវាប្រើសេវាកម្ម Exchange Web Services (EWS) ដើម្បីបង្កើតសេចក្តីព្រាងក្នុងថតឯកសារដែលត្រូវបានលុបចោល(Deleted Items folder)របស់គណនីអ៊ីមែលដែលរងការសម្របសម្រួល។
នៅពេលដែលគេបើកអ៊ីមែល ស្គ្រីបបឋមនៅក្នុងឯកសារភ្ជាប់នឹងធ្វើប្រតិបត្តិការមេរោគ CASHY200 ដោយផ្ទាល់នៅក្នុងមេម៉ូរ៉ី។
មេរោគ CASHY200 ក៏មានសមត្ថភាពក្នុងការទាញយកឯកសារ និងដំឡើងបន្ទុកបន្ទាប់បន្សំផ្សេងទៀត។
វេទិកាដែលរងឥទ្ធិពល
កម្មវិធី Microsoft Windows គ្រប់ជំនាន់ទាំងអសើសុទ្ធតែរងផលប៉ះពាល់។
ដូម៉េន CASHY200 C2 (domains)
windows64x[.]com
winx64-microsoft[.]com
firewallsupports[.]com
windows-updates[.]com
គ្របច្រកពិធីសាររបស់មេរោគl CASHY200 អាចបិទបានដោយប្រព័ន្ធសុវត្ថិភាព DNS ( Security)។
ប្រែសម្រួល៖ប៉ោក លក្ខិណា
ប្រភពព័ត៌មាន gbhackers ចុះផ្សាយនៅថ្ងៃទី១១ ខែវិច្ឆិកា ឆ្នាំ២០២០
