Symantec hat mit Hilfe von Broadcom Software einen bisher nicht dokumentierten Dropper entdeckt, der zur Installation einer neuen Backdoor und anderer Tools verwendet wird, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS)-Protokollen liest.
Der Dropper (Trojan.Geppei) wird von einem Akteur, den Symantec als Cranefly (Schnake, auch bekannt als UNC3524) bezeichnet, verwendet, um eine andere, bisher nicht dokumentierte Malware (Trojan.Danfuan) und andere Tools zu installieren. Die Technik des Auslesens von Befehlen aus IIS-Protokollen wurde von Symantec-Forschern bisher noch nicht bei realen Angriffen eingesetzt.
Hintergrund der Cranefly-Aktivitäten
Mandiant veröffentlichte erstmals im Mai 2022 einen Bericht über Cranefly, in dem beschrieben wurde, dass die Gruppe es vor allem auf die E-Mails von Mitarbeitern abgesehen hatte, die sich mit Unternehmensentwicklung, Fusionen und Übernahmen (M&A) sowie großen Unternehmenstransaktionen befassten.
Die Angreifer hatten eine lange Verweildauer von mindestens 18 Monaten in den Netzwerken der Opfer und unternahmen Schritte, um unter dem Radar zu bleiben, indem sie Hintertüren auf Geräten installierten, die keine Sicherheitstools unterstützten – wie z. B. SANS-Arrays, Load Balancer und Wireless Access Point Controller. Mandiant stellte fest, dass die Angreifer eine neue Backdoor namens QuietExit herunterluden, die auf der Open-Source-Software Dropbear SSH-Client-Server basiert. Die ReGeorg-Web-Shell wurde bei den von Mandiant beobachteten Aktivitäten auch als sekundäre Hintertür verwendet.
Technische Details
Die erste bösartige Aktivität, die die Symantec-Forscher auf den Rechnern der Opfer entdeckten, war das Vorhandensein eines bisher nicht dokumentierten Droppers (Trojan.Geppei). Er verwendet PyInstaller, das ein Python-Skript in eine ausführbare Datei umwandelt.
Geppei liest Befehle aus einem legitimen IIS-Protokoll. IIS-Protokolle dienen der Aufzeichnung von Daten aus IIS, z. B. Webseiten und Anwendungen. Die Angreifer können Befehle an einen kompromittierten Webserver senden, indem sie sie als Webzugriffsanfragen tarnen. IIS protokolliert sie als normal, aber Trojan.Geppei kann sie als Befehle lesen.
Die von Geppei gelesenen Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.
Weitere schwerwiegende Fehler stecken in Android 12 und 13. Insgesamt bringt der Mai-Patchday 29 Fixes.
IT-Sicherheit - Erkennen und Abwehren von digitalen Angriffen
Das iPhone 15 Pro Max ist das meistverkaufte Smartphone im ersten Quartal. Das Galaxy S24…
Die Passwort-Alternative Passkeys überholt Einmalpasswörter bei der Zwei-Faktor-Authentifizierung. Auch Microsoft setzt sich aktiv für die…
Der Anteil steigt seit 2020 um 34 Prozentpunkte. Allein 2023 erfasst Kaspersky rund 10 Millionen…
Salesforce forciert den Ausbau seiner Industry Clouds. Mit ihrem Prozesswissen könnten deutsche IT-Dienstleister davon profitieren.