Cranefly: Neuer Trojaner aus dem Hinterhalt

Symantec hat mit Hilfe von Broadcom Software einen bisher nicht dokumentierten Dropper entdeckt, der zur Installation einer neuen Backdoor und anderer Tools verwendet wird, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS)-Protokollen liest.

Der Dropper (Trojan.Geppei) wird von einem Akteur, den Symantec als Cranefly (Schnake, auch bekannt als UNC3524) bezeichnet, verwendet, um eine andere, bisher nicht dokumentierte Malware (Trojan.Danfuan) und andere Tools zu installieren. Die Technik des Auslesens von Befehlen aus IIS-Protokollen wurde von Symantec-Forschern bisher noch nicht bei realen Angriffen eingesetzt.

Hintergrund der Cranefly-Aktivitäten

Mandiant veröffentlichte erstmals im Mai 2022 einen Bericht über Cranefly, in dem beschrieben wurde, dass die Gruppe es vor allem auf die E-Mails von Mitarbeitern abgesehen hatte, die sich mit Unternehmensentwicklung, Fusionen und Übernahmen (M&A) sowie großen Unternehmenstransaktionen befassten.

Die Angreifer hatten eine lange Verweildauer von mindestens 18 Monaten in den Netzwerken der Opfer und unternahmen Schritte, um unter dem Radar zu bleiben, indem sie Hintertüren auf Geräten installierten, die keine Sicherheitstools unterstützten – wie z. B. SANS-Arrays, Load Balancer und Wireless Access Point Controller. Mandiant stellte fest, dass die Angreifer eine neue Backdoor namens QuietExit herunterluden, die auf der Open-Source-Software Dropbear SSH-Client-Server basiert. Die ReGeorg-Web-Shell wurde bei den von Mandiant beobachteten Aktivitäten auch als sekundäre Hintertür verwendet.

Technische Details

Die erste bösartige Aktivität, die die Symantec-Forscher auf den Rechnern der Opfer entdeckten, war das Vorhandensein eines bisher nicht dokumentierten Droppers (Trojan.Geppei). Er verwendet PyInstaller, das ein Python-Skript in eine ausführbare Datei umwandelt.

Geppei liest Befehle aus einem legitimen IIS-Protokoll. IIS-Protokolle dienen der Aufzeichnung von Daten aus IIS, z. B. Webseiten und Anwendungen. Die Angreifer können Befehle an einen kompromittierten Webserver senden, indem sie sie als Webzugriffsanfragen tarnen. IIS protokolliert sie als normal, aber Trojan.Geppei kann sie als Befehle lesen.

Die von Geppei gelesenen Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago