CASHY200

CASHY200 ist der Name, den die Forscher einer PowerShell-basierten Backdoor-Bedrohung geben. Diese spezielle Malware wurde aufgrund ihrer Command-and-Control-Infrastruktur (C2, C&C) unter Verwendung einer Domain - "windows64x.com" - entdeckt, die als Teil einer Angriffskampagne gegen kuwaitische Organisationen aus der Transport- und Schifffahrtsbranche angesehen wurde. Das Profil der Ziele scheint ebenfalls weitgehend gleich zu sein, doch diesmal waren die Opfer kuwaitische Regierungsorganisationen. Obwohl die Überschneidungen zu spezifisch zu sein scheinen, um zufällig zu sein, kann nicht mit 100%-iger Sicherheit behauptet werden, dass dieselben Bedrohungsakteure auch die Hacker hinter CASHY200 sind.

Der Infektionsvektor, der zur Zustellung von CASHY200 verwendet wird, ist höchstwahrscheinlich eine waffenfähige Word-Dokumentation, die durch Phishing-E-Mails verbreitet wird. In den Bedrohungsdokumenten wurden verschiedene arabische Namen verwendet, während einer als "Update list soft-Ad.docm" geliefert wurde.

Bei der Bereitstellung auf dem Zielcomputer initiiert CASHY200 die Kommunikation mit seinen C2-Servern über DNS-Tunneling. Insbesondere gibt die Bedrohung DNS A-Abfragen an den Server des Angreifers aus. Eingehender Datenverkehr wird mit DNS-Antworten für zutreffende Befehle analysiert, während die nachfolgenden Ergebnisse über DNS-Abfragen erneut an die Server zurückgesendet werden. Es wurde beobachtet, dass CASHY200 zufällig generierte Modifikatoren verwendet, die in der Registrierung unter HKCU \ Software \ Microsoft \ Cashe \ index gespeichert sind.

Spätere CASHY200-Versionen können zwei separate Befehle erkennen, die von den C2-Servern ausgegeben werden. Der erste sieht, wie die Bedrohung den Befehl 'hostname' ausführt und dann das Ergebnis exfiltriert. Der andere mögliche Befehl weist CASHY200 an, Befehle auszuführen, die aus nachfolgenden DNS-Abfragen erhalten wurden, wobei die Ergebnisse erneut durch DNS-Tunneling auf den C2 übertragen werden.