Symantec знайшла нові хакерські інструменти, які використовувалися в прихованій кампанії Cranefly

31 октября 2022 г., 17:15

Дослідники Symantec виявили нові хакерські інструменти, що використовуються в прихованій кампанії Cranefly

Дроппер під назвою Trojan.Geppei використовується зловмисником (Cranefly, UNC3524), для встановлення раніше недокументованого шкідливого програмного забезпечення, відомого як Denfuan, та інших інструментів.

Danfuan описується як такий, що використовує нову техніку зчитування команд з журналів IIS, що, на думку дослідників Symantec, ніколи раніше не використовувалося в реальних атаках.

Група Cranefly була вперше виявлена дослідниками Mandiant в травні і була описана як така, що в основному націлена на електронну пошту співробітників, що займаються корпоративним розвитком, злиттями і поглинаннями і великими корпоративними угодами.

Виділяючись серед типових груп атак, Cranefly має особливо тривалий час перебування в мережі жертви, часто проводячи в ній не менше 18 місяців, залишаючись при цьому непомітним для радарів. Методи уникнення включають встановлення бекдорів на пристроях, які не підтримують засоби захисту, таких як SANS-масиви, балансувальники навантаження та контролери бездротових точок доступу.

Троян Geppei використовує PyInstaller для перетворення скрипта на мові Python у виконуваний файл і зчитує команди з легальних журналів IIS. Журнали IIS записують дані з IIS, такі як веб-сторінки та додатки, за допомогою яких зловмисники можуть надсилати команди на скомпрометований веб-сервер, маскуючи їх під запити для веб-доступу. IIS реєструє їх у звичайному режимі, але Geppei може прочитати їх як команди.

Команди Geppei містять шкідливі закодовані .ashx файли. Файли зберігаються в довільній папці і запускаються як бекдори, при цьому деякі рядки не відображаються в лог-файлах IIS. Ці ж файли використовуються Geppei для розбору шкідливих HTTP-запитів.

Серед бекдорів, які використовує Geppei, є Hacktool.Regeorg, відомий різновид шкідливого програмного забезпечення, який може створювати SOCK-проксі, але не це найцікавіше. Раніше невідомий троянський вірус Danfuan - це DynamicCodeCompiler, який компілює і виконує код на мові C#, заснований на технології динамічної компіляції .NET і динамічно компілює код в пам'яті, доставляючи в заражені системи бекдор.

Однак, хто саме стоїть за Cranefly та Danfuan, невідомо. Hacktool.Regeorg використовується кількома просунутими групами постійних загроз, а сам код знаходиться у відкритому доступі на GitHub, що не дає жодних зачіпок. Єдиною зачіпкою є посилання на ту саму групу, яку Mandiant вперше детально описала на початку цього року, і яка, за її словами не може бути остаточно пов'язана з іншими групами загроз.

«Використання нової техніки і спеціальних інструментів, а також кроки, зроблені для приховування слідів цієї діяльності на комп'ютерах жертв, вказують на те, що Cranefly є досить кваліфікованим суб'єктом загрози, - йдеться у висновку звіту Symantec. Хоча ми не бачимо витоку даних з комп'ютерів жертв, використані інструменти і зусилля, вжиті для приховування цієї діяльності, в поєднанні з діяльністю, раніше задокументованою Mandiant, вказують на те, що найбільш вірогідною мотивацією для цієї групи є збір розвідувальних даних».