Symantec hat mit Hilfe von Broadcom Software einen bisher nicht dokumentierten Dropper entdeckt, der zur Installation einer neuen Backdoor und anderer Tools verwendet wird, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS)-Protokollen liest.
Der Dropper (Trojan.Geppei) wird von einem Akteur, den Symantec als Cranefly (Schnake, auch bekannt als UNC3524) bezeichnet, verwendet, um eine andere, bisher nicht dokumentierte Malware (Trojan.Danfuan) und andere Tools zu installieren. Die Technik des Auslesens von Befehlen aus IIS-Protokollen wurde von Symantec-Forschern bisher noch nicht bei realen Angriffen eingesetzt.
Hintergrund der Cranefly-Aktivitäten
Mandiant veröffentlichte erstmals im Mai 2022 einen Bericht über Cranefly, in dem beschrieben wurde, dass die Gruppe es vor allem auf die E-Mails von Mitarbeitern abgesehen hatte, die sich mit Unternehmensentwicklung, Fusionen und Übernahmen (M&A) sowie großen Unternehmenstransaktionen befassten.
Die Angreifer hatten eine lange Verweildauer von mindestens 18 Monaten in den Netzwerken der Opfer und unternahmen Schritte, um unter dem Radar zu bleiben, indem sie Hintertüren auf Geräten installierten, die keine Sicherheitstools unterstützten – wie z. B. SANS-Arrays, Load Balancer und Wireless Access Point Controller. Mandiant stellte fest, dass die Angreifer eine neue Backdoor namens QuietExit herunterluden, die auf der Open-Source-Software Dropbear SSH-Client-Server basiert. Die ReGeorg-Web-Shell wurde bei den von Mandiant beobachteten Aktivitäten auch als sekundäre Hintertür verwendet.
Technische Details
Die erste bösartige Aktivität, die die Symantec-Forscher auf den Rechnern der Opfer entdeckten, war das Vorhandensein eines bisher nicht dokumentierten Droppers (Trojan.Geppei). Er verwendet PyInstaller, das ein Python-Skript in eine ausführbare Datei umwandelt.
Geppei liest Befehle aus einem legitimen IIS-Protokoll. IIS-Protokolle dienen der Aufzeichnung von Daten aus IIS, z. B. Webseiten und Anwendungen. Die Angreifer können Befehle an einen kompromittierten Webserver senden, indem sie sie als Webzugriffsanfragen tarnen. IIS protokolliert sie als normal, aber Trojan.Geppei kann sie als Befehle lesen.
Die von Geppei gelesenen Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…