Symantec’ten siber güvenlik araştırmacıları, arka kapıları, kötü amaçlı yazılımları dağıtmadan önce aylarca gizlenen yepyeni bir damlalık keşfettiler. (yeni sekmede açılır)ve diğer kötü amaçlı araçlar.
İçinde Blog yazısı (yeni sekmede açılır)şirket, görünüşe göre Mayıs 2022’de Mandiant tarafından tanımlanan bir tehdit aktörü olan Cranefly tarafından kullanılan Geppei olarak bilinen damlalığın ana hatlarını verdi.
Şimdi Symantec, Cranefly’nin Geppei’yi diğer şeylerin yanı sıra Danfuan kötü amaçlı yazılımını düşürmek için kullandığını iddia ediyor – henüz tam olarak analiz edilmemiş yepyeni bir varyant.
Yeni yaklaşımlar
Cranefly, her şeyden önce kurumsal gelişim, birleşme ve satın almalar veya büyük kurumsal işlemler üzerinde çalışan kişileri hedefler. Amaç, mümkün olduğu kadar çok bilgi toplamak, dolayısıyla son derece uzun bekleme süresi.
Araştırmacılar, grubun tespit edilmeden önce 18 ay kadar uzun süre etrafta dolaşabileceğini söylüyor. Doğal olarak siber güvenlik araçlarını, virüsten koruma yazılımını desteklemeyen ağ içindeki uç noktalara arka kapılar kurarak bunu başarıyorlar. (yeni sekmede açılır), ve benzeri. Symantec, cihazların SANS dizilerini, yük dengeleyicilerini veya kablosuz erişim noktası denetleyicilerini içerdiğini söylüyor.
Bu kadar uzun süre ortalıkta kalmayı başarabilmelerinin bir başka nedeni de Geppei’ye komutları iletmek için yeni bir yaklaşımdan kaynaklanıyor. Görünüşe göre, damlalık meşru bir IIS günlüğünden komutları okuyor – “IIS günlüklerinden komut okuma tekniği, Symantec araştırmacılarının bugüne kadar gerçek dünya saldırılarında kullanıldığını gördükleri bir şey değil”, araştırmacılar doğruladı.
IIS günlükleri, web sayfaları ve uygulamalar gibi IIS’den gelen verileri kaydetmek için kullanılır. Geppei, güvenliği ihlal edilmiş bir web sunucusuna komutlar göndererek ve bunları web erişim istekleri olarak sunarak bunları gerçek komutlar olarak okuyabilir.
Araştırmacılar, grubun kalıcılığını da ciddiye aldığını ekledi. Hedef, izinsiz girişi her algıladığında ve saldırganları dışarı ittiğinde, veri hırsızlığı kampanyasını devam ettirmek için bir “çeşitli mekanizma” ile onu yeniden tehlikeye atarlardı.
Symantec şimdiye kadar yalnızca Geppei’yi Cranefly’ye bağlamayı başardı ve başka tehdit aktörlerinin de aynı yaklaşımı kullanıp kullanmadığını göreceğiz.