ក្រុមហេគឃ័រ xHunt ប្រើ Backdoor ដើម្បីវាយលុកទៅលើម៉ាស៊ីន Exchange Servers និងយុទ្ធនាការ xHunt ក៏បានកំណត់គោលដៅលើអង្គការគុយវ៉ែតដើម្បីសម្របសម្រួលលើប្រព័ន្ធនានា។ ឧបករណ៍មួយក្នុងចំណោមឧបករណ៍ដែលគេប្រើគឺ CASHY200 ដែលជាទ្វារខាងក្រោយដែលមានមូលដ្ឋានលើ Powershell មានជាប់ទាក់ទងជាមួយម៉ាស៊ីនមេ C2 ដោយប្រើ ច្រក DNS ។

 តើអ្វីទៅជា CASHY200?

មេរោគ CASHY200 ធ្វើការនៅលើមូលដ្ឋាននៃស្គ្រីប PowerShell ដែលមានជាប់ទាក់ទងជាមួយនឹងយុទ្ធនាការមេរោគ xHunt។ ThisCASHY200 ត្រូវគេបញ្ជូនបន្តភ្ជាប់ទៅកម្មវិធី Microsoft ដែលមានគំនិតអាក្រក់និងធ្វើការវាយប្រហារលើយុទ្ធនាការ phishingតាមអ៊ីមែល។  ក្រោយមកវាប្រើសេវាកម្ម Exchange Web Services (EWS) ដើម្បីបង្កើតសេចក្តីព្រាងក្នុងថតឯកសារដែលត្រូវបានលុបចោល(Deleted Items folder)របស់គណនីអ៊ីមែលដែលរងការសម្របសម្រួល។ 

នៅពេលដែលគេបើកអ៊ីមែល ស្គ្រីបបឋមនៅក្នុងឯកសារភ្ជាប់នឹងធ្វើប្រតិបត្តិការមេរោគ CASHY200 ដោយផ្ទាល់នៅក្នុងមេម៉ូរ៉ី។ មេរោគ CASHY200 ក៏មានសមត្ថភាពក្នុងការទាញយកឯកសារ និងដំឡើងបន្ទុកបន្ទាប់ បន្សំផ្សេងទៀត។

វេទិកាដែលរងឥទ្ធិពល

កម្មវិធី Microsoft Windows គ្រប់ជំនាន់ទាំងអសើសុទ្ធតែរងផលប៉ះពាល់។

ដូម៉េន CASHY200 C2 (domains)

windows64x[.]com

winx64-microsoft[.]com

firewallsupports[.]com

windows-updates[.]com