Kurumsal işlemlerle uğraşan çalışanları hedef almasıyla tanınan kısa süre önce keşfedilen bir bilgisayar korsanlığı grubu, adı verilen yeni bir arka kapıyla ilişkilendirildi. Danfuan.
Bu şimdiye kadar belgelenmemiş kötü amaçlı yazılım, Broadcom Software tarafından Symantec’ten araştırmacılar olan Geppei adlı başka bir damlalık aracılığıyla teslim edilir. söz konusu The Hacker News ile paylaşılan bir raporda.
Araştırmacılar, damlalığın “görünüşte zararsız İnternet Bilgi Servisleri (IIS) günlüklerinden komutları okumanın yeni tekniğini kullanarak yeni bir arka kapı ve diğer araçları kurmak için kullanılıyor” dedi.
Araç seti, siber güvenlik şirketi tarafından, birleşme ve satın almalar ve diğer finansal işlemlerle uğraşan mağdurlardan toplu e-posta toplamaya odaklandığı için ilk olarak Mayıs 2022’de ortaya çıkan, Cranefly olarak da bilinen UNC3524 adlı şüpheli bir casusluk aktörüne atfedildi.
Grubun en önemli kötü amaçlı yazılım türlerinden biri, yük dengeleyiciler ve kablosuz erişim noktası denetleyicileri gibi virüsten koruma veya uç nokta algılamayı desteklemeyen ağ cihazlarına dağıtılan ve saldırganın radarın altında uzun süre uçmasını sağlayan bir arka kapı olan QUIETEXIT’tir.
Geppei ve Danfuan, Cranefly’nin özel siber silahlarına katkıda bulunur; birincisi, güvenliği ihlal edilmiş bir sunucuya gönderilen zararsız web erişim istekleri gibi görünen IIS günlüklerinden komutları okuyarak bir damlalık görevi görür.
Araştırmacılar, “Geppei tarafından okunan komutlar kötü amaçlı kodlanmış .ashx dosyaları içeriyor” dedi. “Bu dosyalar, komut parametresi tarafından belirlenen rastgele bir klasöre kaydedilir ve arka kapı olarak çalışırlar.”
Bu, adı verilen bir web kabuğunu içerir. reGeorgAPT28 gibi diğer aktörler tarafından kullanılmaya başlanan , DeftToreroWorok ve alınan C# kodunu yürütmek üzere tasarlanmış, Danfuan adlı daha önce hiç görülmemiş bir kötü amaçlı yazılım.
Symantec, güvenliği ihlal edilmiş ağlarda 18 aylık uzun bir bekleme süresine rağmen, tehdit aktörünün kurban makinelerden veri sızdırdığını gözlemlemediğini söyledi.
Araştırmacılar, “Yeni bir teknik ve özel araçların kullanılması ve bu etkinliğin izlerini kurban makinelerde gizlemek için atılan adımlar, Cranefly’nin oldukça yetenekli bir tehdit aktörü olduğunu gösteriyor.”
“Bu faaliyeti gizlemek için kullanılan araçlar ve gösterilen çabalar […] Bu grup için en olası motivasyonun istihbarat toplamak olduğunu gösteriyor.”