Το dropper Geppei χρησιμοποιείται από έναν απειλητικό παράγοντα που η Symantec ονομάζει Cranefly (γνωστό και ως UNC3524), για να εγκαταστήσει ένα άλλο κομμάτι από το undocumented malware Danfuan και άλλα εργαλεία. Η τεχνική της ανάγνωσης εντολών από IIS logs δεν είναι κάτι που οι ερευνητές της Symantec έχουν δει να χρησιμοποιείται μέχρι σήμερα σε πραγματικές επιθέσεις.
Δείτε επίσης: Ένα zero-day στα Windows 10 αποκτά ανεπίσημη επιδιόρθωση
Malware εξαπλώνεται από εγκληματίες του κυβερνοχώρου μέσω της κατάχρησης νόμιμων εργαλείων, με τρόπο που δεν έχει παρατηρηθεί ποτέ στο παρελθόν.
Οι ερευνητές κυβερνοασφάλειας της Symantec λένε ότι οι επιτιθέμενοι μπορούν να περάσουν έως και 18 μήνες μέσα στα δίκτυα των θυμάτων χωρίς να εντοπιστούν. Πιστεύεται ότι αυτή η δραστηριότητα αποτελεί μέρος μιας επιχείρησης συλλογής πληροφοριών και κατασκοπείας.
Η μόλυνση ξεκινά με άγνωστο τρόπο, αλλά τα θύματα λαμβάνουν μια προηγουμένως undocumented μορφή κακόβουλου λογισμικού που ονομάζεται Geppei. Με αυτή την πρόσβαση, παραδίδεται μια άλλη μορφή κακόβουλου λογισμικού backdoor που ονομάζεται Danfuan. Αυτό επιτρέπει τη μυστική πρόσβαση σε μηχανήματα που έχουν παραβιαστεί, μαζί με τη δυνατότητα να κατασκοπεύει οποιαδήποτε δεδομένα αποθηκεύονται ή εισάγονται σε συστήματα.
Στην προσπάθειά τους να μη γίνουν αντιληπτοί, οι επιτιθέμενοι εγκαθιστούν backdoors σε συσκευές που δεν υποστηρίζονται από εργαλεία ασφαλείας. Με αυτόν τον τρόπο μπορούν να παραμείνουν κάτω από το ραντάρ. Μερικά παραδείγματα αυτών των συσκευών είναι τα SANS arrays, τα load balancers και τα controlers ασύρματων σημείων πρόσβασης.
Δείτε επίσης: Χακαρίστηκε η πλατφόρμα ForceNet που χρησιμοποιεί ο στρατός της Αυστραλίας
Αυτό που κάνει αυτή την εκστρατεία μοναδική είναι ο τρόπος με τον οποίο το Geppei κάνει κατάχρηση των logs των Internet Information Services (IIS) για να παραμείνει απαρατήρητη. Αυτό είναι κάτι που οι ερευνητές λένε ότι δεν έχουν δει να χρησιμοποιείται σε επιθέσεις στο παρελθόν, καθιστώντας το μια νέα μέθοδο λειτουργίας.
Τα IIS logs αποτελούν μέρος των Windows server services και παρέχουν δεδομένα ιστοτόπου σχετικά με την αλληλεπίδραση και τη συμπεριφορά των χρηστών. Συνήθως χρησιμοποιούνται για την αντιμετώπιση προβλημάτων σε εφαρμογές ιστού.
Το Geppei συλλέγει εντολές από ένα IIS log, το οποίο υποτίθεται ότι καταγράφει πληροφορίες από τα IIS, όπως web pages και apps. Σε αυτή την περίπτωση, όμως, οι χάκερ μπορούν να στείλουν εντολές σε έναν παραβιασμένο web server προσποιούμενοι ότι πρόκειται για κανονικά αιτήματα πρόσβασης στο διαδίκτυο. Και παρόλο που το IIS τις καταγράφει ως νορμάλ, το Geppei τις διαβάζει ως εντολές. Οι εντολές που αποκτά το Geppei περιέχουν επικίνδυνα κωδικοποιημένα αρχεία τα οποία στη συνέχεια αποθηκεύονται σε οποιονδήποτε τυχαίο φάκελο και εκτελούνται ως backdoors.
Δείτε επίσης: S3crets Scanner: Δωρεάν εργαλείο για τη σάρωση εκτεθειμένων Amazon S3 buckets
Οι επιθέσεις έχουν συνδεθεί με μια ομάδα που η Symantec ονοματίζει ως Cranefly – επίσης γνωστή ως UNC3524. Οι ερευνητές υποδεικνύουν ότι οι δημιουργικές και εξαιρετικά διακριτικές μέθοδοι που χρησιμοποιούνται σε αυτή την εκστρατεία είναι ενδεικτικές ενός “αρκετά εξειδικευμένου δράστη απειλών”, του οποίου το κύριο κίνητρο είναι η συλλογή πληροφοριών.
Η Symantec δεν αποκάλυψε ποιος πιστεύει ότι βρίσκεται πίσω από τις επιθέσεις, αλλά οι ερευνητές της Mandiant δήλωσαν ότι ο τρόπος με τον οποίο η ομάδα Cranefly/UNC3524 διεξήγαγε την εκστρατεία του έχει ομοιότητες με μεθόδους που χρησιμοποιούνται από γνωστούς απειλητικούς φορείς με έδρα τη Ρωσία.
Παρόλο που αυτή η εκστρατεία δεν είναι γνωστή, εξακολουθεί να αποτελεί απειλή για τους οργανισμούς, καθώς τα άτομα που την εκτελούν χρησιμοποιούν διαφορετικές μεθόδους για να αποκρύψουν τις επιθέσεις τους.
Πηγή πληροφοριών: zdnet.com
