Un groupe de piratage récemment découvert, connu pour cibler les employés traitant des transactions d’entreprise, a été lié à une nouvelle porte dérobée appelée Danfouan.
Ce malware jusqu’ici non documenté est délivré via un autre compte-gouttes appelé Geppei, chercheurs de Symantec, par Broadcom Software, a dit dans un rapport partagé avec The Hacker News.
Le compte-gouttes « est utilisé pour installer une nouvelle porte dérobée et d’autres outils utilisant la nouvelle technique de lecture de commandes à partir de journaux Internet Information Services (IIS) apparemment inoffensifs », ont déclaré les chercheurs.
L’ensemble d’outils a été attribué par la société de cybersécurité à un acteur d’espionnage présumé appelé UNC3524, alias Cranefly, qui a été révélé pour la première fois en mai 2022 pour son accent sur la collecte en masse d’e-mails de victimes qui traitent de fusions et acquisitions et d’autres transactions financières.
L’une des principales souches de logiciels malveillants du groupe est QUIETEXIT, une porte dérobée déployée sur des appareils réseau qui ne prennent pas en charge les antivirus ou la détection des terminaux, tels que les équilibreurs de charge et les contrôleurs de points d’accès sans fil, permettant à l’attaquant de voler sous le radar pendant de longues périodes.
Geppei et Danfuan s’ajoutent aux cyber-armes personnalisées de Cranefly, le premier agissant comme un compte-gouttes en lisant les commandes des journaux IIS qui se font passer pour des demandes d’accès Web inoffensives envoyées à un serveur compromis.
« Les commandes lues par Geppei contiennent des fichiers .ashx encodés malveillants », ont noté les chercheurs. « Ces fichiers sont enregistrés dans un dossier arbitraire déterminé par le paramètre de commande et ils s’exécutent comme des portes dérobées. »
Cela inclut un shell Web appelé reGeorgqui a été utilisé par d’autres acteurs comme APT28, DeftToreroet Worok, et un malware inédit appelé Danfuan, qui est conçu pour exécuter le code C# reçu.
Symantec a déclaré qu’il n’avait pas observé l’acteur de la menace exfiltrer les données des machines victimes malgré une longue durée de séjour de 18 mois sur les réseaux compromis.
« L’utilisation d’une nouvelle technique et d’outils personnalisés, ainsi que les mesures prises pour masquer les traces de cette activité sur les machines victimes, indiquent que Cranefly est un acteur de menace assez qualifié », ont conclu les chercheurs.
« Les outils déployés et les efforts déployés pour dissimuler cette activité […] indiquent que la motivation la plus probable de ce groupe est la collecte de renseignements. »