Symantec hat mit Hilfe von Broadcom Software einen bisher nicht dokumentierten Dropper entdeckt, der zur Installation einer neuen Backdoor und anderer Tools verwendet wird, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS)-Protokollen liest.
Der Dropper (Trojan.Geppei) wird von einem Akteur, den Symantec als Cranefly (Schnake, auch bekannt als UNC3524) bezeichnet, verwendet, um eine andere, bisher nicht dokumentierte Malware (Trojan.Danfuan) und andere Tools zu installieren. Die Technik des Auslesens von Befehlen aus IIS-Protokollen wurde von Symantec-Forschern bisher noch nicht bei realen Angriffen eingesetzt.
Hintergrund der Cranefly-Aktivitäten
Mandiant veröffentlichte erstmals im Mai 2022 einen Bericht über Cranefly, in dem beschrieben wurde, dass die Gruppe es vor allem auf die E-Mails von Mitarbeitern abgesehen hatte, die sich mit Unternehmensentwicklung, Fusionen und Übernahmen (M&A) sowie großen Unternehmenstransaktionen befassten.
Die Angreifer hatten eine lange Verweildauer von mindestens 18 Monaten in den Netzwerken der Opfer und unternahmen Schritte, um unter dem Radar zu bleiben, indem sie Hintertüren auf Geräten installierten, die keine Sicherheitstools unterstützten – wie z. B. SANS-Arrays, Load Balancer und Wireless Access Point Controller. Mandiant stellte fest, dass die Angreifer eine neue Backdoor namens QuietExit herunterluden, die auf der Open-Source-Software Dropbear SSH-Client-Server basiert. Die ReGeorg-Web-Shell wurde bei den von Mandiant beobachteten Aktivitäten auch als sekundäre Hintertür verwendet.
Technische Details
Die erste bösartige Aktivität, die die Symantec-Forscher auf den Rechnern der Opfer entdeckten, war das Vorhandensein eines bisher nicht dokumentierten Droppers (Trojan.Geppei). Er verwendet PyInstaller, das ein Python-Skript in eine ausführbare Datei umwandelt.
Geppei liest Befehle aus einem legitimen IIS-Protokoll. IIS-Protokolle dienen der Aufzeichnung von Daten aus IIS, z. B. Webseiten und Anwendungen. Die Angreifer können Befehle an einen kompromittierten Webserver senden, indem sie sie als Webzugriffsanfragen tarnen. IIS protokolliert sie als normal, aber Trojan.Geppei kann sie als Befehle lesen.
Die von Geppei gelesenen Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…