Top50 2024

Ovaj lukavi zlonamerni softver vreba u vašim sistemima pre nego što napadne

Istraživači sajber bezbednosti iz Symantec-a otkrili su potpuno novi dropper koji vreba mesecima pre nego što primeni backdoor, malver i druge zlonamerne alate.

PCPress.rs Image

Geppei dropper ima jedinstven način čitanja komandi

U postu na blogu, kompanija je predstavila dropper, poznat kao Geppei, koju očigledno koristi Cranefly, pretnja koju je prvi opisao Mandiant u maju 2022. Sada, Symantec tvrdi da Cranefly koristi Geppei za dropovanje, između ostalog, malvera Danfuan – potpuno nove varijante koja tek treba da bude detaljno analizirana. Cranefly cilja, pre svega, ljude koji rade na korporativnom razvoju, spajanjima i akvizicijama ili velikim korporativnim transakcijama. Cilj je prikupiti što je moguće više informacija, otuda i neizmerno dugo vreme zadržavanja. Istraživači kažu da grupa može da vreba okolo čak 18 meseci pre nego što bude primećena. Uspevaju da to izvuku tako što instaliraju backdoor na krajnje tačke unutar mreže koje prirodno ne podržavaju alate za sajber bezbednost, antivirusni softver i slično. Uređaji uključuju SANS nizove, balansere opterećenja ili kontrolere bežične pristupne tačke, kaže Symantec.

Drugi razlog zašto uspevaju da se zadrže tako dugo je novi pristup da se komande prenesu Geppei-u. Očigledno, dropper čita komande iz legitimnog IIS dnevnika – „tehnika čitanja komandi iz IIS dnevnika nije nešto što su Symantec istraživači videli da se do sada koristi u napadima u stvarnom svetu“, potvrdili su istraživači. IIS evidencije se koriste za snimanje podataka iz IIS-a, kao što su veb stranice i aplikacije. Slanjem komandi kompromitovanom veb serveru i predstavljajući ih kao zahteve za pristup vebu, Geppei ih može pročitati kao stvarne komande.

Grupa je i vrlo uporna, dodali su istraživači. Svaki put kada bi meta uočila upad i izbacila napadače, oni bi ga ponovo kompromitovali „različitim mehanizmima“ kako bi održali kampanju krađe podataka. Do sada je Symantec uspeo samo da poveže Geppei sa Cranefly-jem, a ostaje da se vidi da li neki drugi akteri pretnji koriste isti pristup ili ne.

Izvor: Techradar

 

Facebook komentari:
Računari i Galaksija
Tagovi: ,