Η ομάδα προηγμένης επίμονης απειλής xHunt έχει καθιερωθεί σταθερά ως εξελιγμένος παράγοντας κυβερνοκατασκοπείας, ενορχηστρώνοντας στοχευμένες εκστρατείες εναντίον οργανισμών στο Κουβέιτ.
Από την εμφάνισή του το 2018, ο όμιλος έχει επικεντρωθεί με προσήλωση στους τομείς της κυβέρνησης, της ναυτιλίας και των μεταφορών.
Οι λειτουργίες τους χαρακτηρίζονται από τη χρήση μιας προσαρμοσμένης και εξελισσόμενης εργαλειοθήκης, με πολλά εργαλεία να φέρουν ονόματα που προέρχονται από τη σειρά anime Hunter x Hunter.
Αυτή η μοναδική σύμβαση ονομασίας συνοδεύει μια επίμονη προσπάθεια διείσδυσης σε κρίσιμες υποδομές και συλλογή ευαίσθητων πληροφοριών μέσω εξατομικευμένων παραλλαγών κακόβουλου λογισμικού όπως το Hisoka και το Netero.
Τα διανύσματα επιθέσεων που χρησιμοποιεί το xHunt είναι ποικίλα, ξεκινώντας συχνά με στρατηγικές επιθέσεις ή τον άμεσο συμβιβασμό των διακομιστών Microsoft Exchange και IIS που αντιμετωπίζουν το web.
Μια ιδιαίτερα νέα τεχνική περιλαμβάνει την εισαγωγή κρυφών ετικετών HTML σε παραβιασμένους κυβερνητικούς ιστότοπους, την ανακατεύθυνση των επισκεπτών σε διακομιστές που ελέγχονται από ηθοποιούς για τη συλλογή κατακερματισμών NTLM.
Αυτή η παθητική κλοπή διαπιστευτηρίων επιτρέπει στους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση χωρίς άμεσο εντοπισμό, χρησιμοποιώντας τα δεδομένα που συλλέγονται για να θέσει σε κίνδυνο περαιτέρω συστήματα εντός του δικτύου.
Ο αντίκτυπος αυτών των εισβολών είναι βαθύς, καθώς η ομάδα αναπτύσσει μια σουίτα προσαρμοσμένων κερκόπορτων για να διατηρήσει μακροπρόθεσμη πρόσβαση.
Αναλυτές Picus Security αναγνωρισθείς το κακόβουλο λογισμικό μετά την παρατήρηση αυτών των χαρακτηριστικών συμπεριφορών, σημειώνοντας την ικανότητα της ομάδας να συνδυάζεται με νόμιμη κυκλοφορία δικτύου.
Εργαλεία όπως το webshell BumbleBee και τα backdoors που βασίζονται σε PowerShell, όπως το TriFive και το Snugy, επιτρέπουν στους εισβολείς να εκτελούν αυθαίρετες εντολές.
Αξιοποιώντας τις Υπηρεσίες Ιστού του Exchange για εντολή και έλεγχο, οι εισβολείς επικοινωνούν μέσω πρόχειρων email εντός του φακέλου Διαγραμμένα, περιπλέκοντας περαιτέρω τις προσπάθειες ανίχνευσης.
Μηχανισμοί Εμμονής και Αμυντικής Αποφυγής
Μια κρίσιμη πτυχή της μεθοδολογίας του xHunt είναι η εξάρτησή τους από προγραμματισμένες εργασίες για να διασφαλιστεί η διατήρηση των κερκόπορτων του PowerShell. Μόλις ένα σύστημα παραβιαστεί, οι εισβολείς δημιουργούν εργασίες που εκτελούν κακόβουλα σενάρια σε ακριβή χρονικά διαστήματα, συχνά κάθε λίγα λεπτά.
Αυτές οι εργασίες έχουν σχεδιαστεί σχολαστικά για να αποφεύγουν τον εντοπισμό μιμούμενοι τις νόμιμες διαδικασίες των Windows και τοποθετώντας αρχεία σε αξιόπιστους καταλόγους.
Για παράδειγμα, η ομάδα χρησιμοποιεί συγκεκριμένες εντολές για να προγραμματίσει τα ωφέλιμα φορτία της:-
schtasks /create /sc MINUTE /mo 5 /tn "\Microsoft\Windows\SideShow\SystemDataProvider" /tr "powershell -exec bypass -file C:\Windows\Temp\xpsrchvw.ps1" /ru SYSTEMΑυτή η εντολή δημιουργεί μια εργασία μεταμφιεσμένη ως SystemDataProvider, που εκτελείται με υψηλά δικαιώματα για την εκτέλεση της κερκόπορτας Snugy.
Επιπλέον, οι ηθοποιοί του xHunt χρησιμοποιούν τεχνικές μεταμφιέσεων, όπως η τοποθέτηση εργασιών στον κατάλογο υποδομής διάγνωσης των Windows και η ονομασία τους σε ResolutionHosts ώστε να μοιάζουν με νόμιμα αρχεία συστήματος.
Αυτές οι τακτικές αποφυγής, σε συνδυασμό με τη χρήση των σηράγγων SSH για πλευρική κίνηση, καθιστούν το xHunt μια ανθεκτική και άπιαστη απειλή που απαιτεί ολοκληρωμένη παρακολούθηση συμπεριφοράς για αποτελεσματική ανίχνευση.
Related Posts
Το Tsundere Botnet κάνει κατάχρηση δημοφιλών πακέτων Node.js και κρυπτονομισμάτων για επίθεση σε χρήστες Windows, Linux και macOS
Το MastaStealer οπλίζει τα αρχεία LNK των Windows, εκτελεί την εντολή PowerShell και το Evades Defender
Το Iranian SpearSpecter επιτίθεται σε αξιωματούχους υψηλής αξίας χρησιμοποιώντας εξατομικευμένες τακτικές κοινωνικής μηχανικής
