پژوهشگران امنیتی این فعالیت جدید را به عملیاتهای مداومی نسبت دادهاند که از سرورهای Microsoft Exchange و IIS سوءاستفاده میکنند؛ جایی که مهاجمان یک خانواده روبهگسترش از Backdoorهای سفارشی مبتنی بر PowerShell را مستقر میکنند.
گروه xHunt که تمرکز آن بر جمعآوری اطلاعات بلندمدت ارزیابی میشود، نام خود را از انیمه Hunter x Hunter گرفته است و بسیاری از ابزارهایش نیز نام شخصیتهای این مجموعه، از جمله Hisoka، Sakabota، Netero و Killua را یدک میکشند.
کمپینهای پیشین این گروه در بازه ۲۰۱۹ تا ۲۰۲۰ شامل نفوذ به زیرساختهای کویت بود که به شناسایی چندین ایمپلنت سفارشی انجامید؛ از جمله TriFive، بدافزار Snugy (گونهای از CASHY200) و وبشل BumbleBee.
دسترسی پایدار با PowerShell و پروتکلهای ایمیل
مجموعه ابزارهای xHunt نشاندهنده درک عمیق این گروه از درونیات ویندوز و شبکههای سازمانی است. Backdoorهای TriFive و Snugy بهطور کامل با PowerShell نوشته شدهاند و از طریق Scheduled Taskهایی که هر چند دقیقه اجرا میشوند، بهشکل مخفیانه فعالیت میکنند. این اسکریپتها با دور زدن سیاستهای اجرای PowerShell، ماندگاری خود را حفظ کرده و همزمان زیر آستانه شناسایی ابزارهای امنیتی باقی میمانند.
یکی از خلاقانهترین سازوکارهای فرماندهی و کنترل (C2) این گروه، استفاده از Exchange Web Services (EWS) است. در این روش، Backdoor TriFive با صندوق پستی قربانی تعامل میکند و دستورات رمزگذاریشده PowerShell را در پوشههای Drafts یا Deleted Items ارسال و دریافت میکند. هر دستور بهصورت Base64 کدگذاری و مبهمسازی شده و خروجی اجرا نیز به همان شکل در قالب یک پیشنویس بازگردانده میشود؛ روشی که ارتباط مخفیانه را در دل ترافیک ایمیل قانونی ممکن میسازد.
برای حرکت جانبی و دسترسی داخلی، xHunt از تونلهای SSH ایجادشده با ابزار Plink (از مجموعه PuTTY) استفاده کرده تا به وبشلهای BumbleBee روی سرورهای داخلی IIS متصل شود. در برخی نفوذها، این تونلها به پورتهای 3389 و 80 هدایت شدهاند و امکان دسترسی از راه دور به سرویسهای RDP و وباپلیکیشنهای داخلی غیرقابل دسترس از اینترنت را فراهم کردهاند.
این گروه همچنین حملات watering-hole را در کارنامه خود دارد؛ از جمله آلودهسازی یک وبسایت دولتی کویت و سرقت اعتبارنامهها با جاسازی یک درخواست HTML مخفی به یک اشتراک SMB تحت کنترل مهاجم. در این سناریو، هنگام تلاش مرورگر کاربران برای احراز هویت، هشهای NTLMv2 آنها بهصورت نامحسوس جمعآوری و در تلاشهای بعدی برای احراز هویت مجدد استفاده میشد.
پژوهشگران به الگوهای ثابت فرار از شناسایی نیز اشاره کردهاند؛ از جمله تقلید نام وظایف قانونی (مانند ResolutionHosts) برای پنهانسازی سازوکارهای ماندگاری، تغییر کلیدهای رجیستری ویندوز برای در دسترس قرار دادن رمزهای عبور بهصورت متن ساده در حافظه، و استفاده از سرویسهای VPN برای چرخش آدرسهای IP در گرههای اروپایی که فرآیند نسبتدهی حمله را دشوارتر میکند.
کارشناسان امنیتی توصیه میکنند سازمانها محیطهای خود را در برابر تکنیکها، تاکتیکها و رویههای (TTPs) گروه xHunt بهصورت فعال آزمایش کنند. پلتفرمهایی مانند Picus Security Threat Library با ارائه سناریوهای از پیش آماده که روشهای عملیاتی این گروه را شبیهسازی میکنند، به سازمانها کمک میکنند تا سطح آمادگی دفاعی خود را ارزیابی و تقویت کنند.