Sonntag, Dezember 4, 2022

Gewöhnliche Webzugriffsanfrage oder Befehl an Malware?

Eine Gruppe von Bedrohungen, die auf Unternehmens-E-Mails abzielen, verbreitet Dropper-Malware über eine neue Technik, die Protokolle von Microsoft Internet Information Services (IIS) verwendet, um Befehle zu senden, die als Webzugriffsanforderungen getarnt sind.

Der Dropper namens Geppei wird von einer Symantec-Bedrohungsforschungsgruppe namens Cranefly verwendet, um andere undokumentierte Malware zu installieren.

„Die Technik des Lesens von Befehlen aus ISS-Protokollen ist etwas, was Symantec-Forscher bisher nicht bei realen Angriffen gesehen haben“, schreiben die Forscher des Threat Hunter-Teams von Symantec in einem kürzlich erschienenen Bericht.

Cranefly wurde erstmals von Mandiant beschrieben, als das Team die Operationen einer Gruppe namens UNC3524 skizzierte.

Geppei verwendet bei den Angriffen PyInstaller und wandelt das Python-Skript in eine ausführbare Datei um, heißt es. IIS-Protokolle werden verwendet, um IIS-Daten wie Webseiten und Apps zu protokollieren. Angreifer senden Befehle getarnt als Webzugriffsanfragen an einen kompromittierten Webserver.

„Geppei liest Befehle aus einer legitimen IIS-Registrierung. IIS protokolliert sie normal, aber Trojan.Geppei kann sie als Befehle lesen“, schreiben die Analysten. „Von Geppei gelesene Befehle enthalten bösartig verschlüsselte .ashx-Dateien. Diese Dateien werden in einem willkürlichen Ordner gespeichert, der durch den Befehlsparameter bestimmt wird, und als Hintertür ausgeführt.“

Die Gruppe verwendet die Zeichenfolgen Wrde, Exco und CIIo (von denen normalerweise keiner in IIS-Protokolldateien auftaucht) für böswillige HTTP-Anfragen, die von Geppei analysiert wurden. Das Vorhandensein der Zeichenfolgen veranlasst den Dropper anscheinend, seine Arbeit auf einem kompromittierten Microsoft-Computer zu erledigen. Cranefly kann zum Senden von Befehlen eine fiktive oder nicht vorhandene URL verwenden, da IIS 404-Fehler standardmäßig in derselben Protokolldatei protokolliert.

In den von Geppei veröffentlichten Backdoors ist ReGeorg enthalten, eine bekannte Web-Shell, die von Cranefly sowohl von Symantec als auch von Mandiant verwendet wurde. ReGeorg ist öffentlich auf GitHub verfügbar und wurde zuvor von mehreren Advanced Persistent Threat (APT)-Gruppen verwendet, obwohl Symantec es nur mit Cranefly verknüpft hat.

Es löscht auch den Danfuan-Trojaner, eine weitere undokumentierte Malware, die empfangenen C#-Code kompiliert und ausführt und sich anscheinend auf die dynamische Kompilierungstechnologie von .NET stützt. Diese Art von Code wird nicht auf der Festplatte erstellt, sondern befindet sich im Arbeitsspeicher, sagen Forscher von Symantec.

„Die Verwendung einer neuen Technik und benutzerdefinierter Tools sowie die Maßnahmen, die ergriffen wurden, um Spuren dieser Aktivität auf den Computern der Opfer zu verbergen, weisen darauf hin, dass Cranefly ein ziemlich kompetenter Bedrohungsakteur ist“, schreiben sie.

„Obwohl wir keine von den Computern der Opfer exfiltrierten Daten sehen, deuten die eingesetzten Tools und Bemühungen zur Verschleierung dieser Aktivität in Verbindung mit der zuvor dokumentierten Aktivität von Mandiant darauf hin, dass die wahrscheinlichste Motivation für diese Gruppe das Sammeln von Informationen ist.“

Analysten von Mandiant schreiben, dass sie die Gruppe seit Dezember 2019 beobachten. Laut Anbietern von Cybersicherheit zielt Cranefly auf Unternehmens-E-Mails von Mitarbeitern mit einem Auge auf Nachrichten, die die Unternehmensentwicklung, M&A-Aktivitäten und große Unternehmenstransaktionen betreffen.

Mandiant-Forscher stellen fest, dass E-Mails nicht nur viele organisatorische Informationen enthalten, sondern auch an einem zentralen Ort gespeichert werden, was es Bedrohungsgruppen erleichtert, sie zu sammeln. Sie umfassen auch Methoden für die Suche und den Zugriff auf Daten in E-Mails sowohl vor Ort als auch in der Cloud, einschließlich eDiscovery und Grafik-APIs, Tools, die sogar Cyberkriminelle zum Sammeln von Informationen verwenden können.

Die Bedrohungsgruppe wurde beobachtet, wie sie 18 Monate lang das Netzwerk eines Ziels besetzte und eine Vielzahl von Techniken anwendete, um unentdeckt zu bleiben, einschließlich der Installation von Backdoors auf Geräten wie SAN-Arrays, Load Balancern und Wireless Access Point Controllern, die Sicherheitstools wie nicht unterstützen Virenschutz oder Endgeräteschutz.

Mandiant-Forscher schreiben, dass sie gesehen haben, wie Cranefly sowohl ReGeorg als auch eine neue Hintertür namens QuietExit aufgegeben hat, die auf der Open-Source-Software Dropbear SSH basiert.

Sie stellen fest, dass die Wahl der Opfer zwar darauf hindeutet, dass ihre Motivation finanziell war, ihre Fähigkeit, weit über die durchschnittliche Aufenthaltsdauer von 21 Tagen hinaus unentdeckt zu bleiben, jedoch auf Spionage hindeutet.

Das Forschungsteam verfügt über eine Liste von Kompromittierungsindikatoren. ®

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles