Cybersicherheitsforscher von Symantec haben einen völlig neuen Dropper entdeckt, der monatelang lauert, bevor er Backdoors, Malware (wird in einem neuen Tab geöffnet) und andere bösartige Tools einsetzt.
In einem Blogbeitrag (wird in einem neuen Tab geöffnet) beschrieb das Unternehmen den als Geppei bekannten Dropper, der offenbar von Cranefly verwendet wird, einem Bedrohungsakteur, der erstmals im Mai 2022 von Mandiant porträtiert wurde.
Nun behauptet Symantec, dass Cranefly Geppei verwendet, um unter anderem die Danfuan-Malware zu entfernen, eine neue Variante, die noch gründlich analysiert werden muss.
Neue Ansätze
Cranefly richtet sich in erster Linie an Personen, die in den Bereichen Unternehmensentwicklung, M&A oder große Unternehmenstransaktionen tätig sind. Ziel ist es, so viele Informationen wie möglich zu sammeln, daher die immens lange Verweildauer.
Forscher sagen, dass sich die Gruppe bis zu 18 Monate verstecken kann, bevor sie gesehen wird. Sie erreichen dies, indem sie Hintertüren auf Netzwerkendpunkten installieren, die natürlich nicht von Cybersicherheitstools, Antivirensoftware (wird in einem neuen Tab geöffnet) und dergleichen unterstützt werden. Zu den Geräten gehören SANS-Arrays, Load-Balancer oder Wireless-Access-Point-Controller, erklärt Symantec.
Ein weiterer Grund, warum es ihnen gelingt, so lange zu bleiben, ist ein neuer Ansatz beim Senden von Befehlen an Geppei. Der Dropper liest offenbar Befehle aus einem legitimen IIS-Protokoll: „Die Technik, Befehle aus IIS-Protokollen zu lesen, ist etwas, was Symantec-Forscher bisher in keiner Anwendung gesehen haben. Tatsächliche Angriffe“, bestätigten die Forscher.
IIS-Protokolle werden verwendet, um IIS-Daten wie Webseiten und Anwendungen zu protokollieren. Indem Befehle an einen kompromittierten Webserver gesendet und als Webzugriffsanfragen präsentiert werden, kann Geppei sie als echte Befehle lesen.
Auch ihre Beharrlichkeit nehme die Gruppe ernst, fügten die Forscher hinzu. Jedes Mal, wenn das Ziel den Einbruch erkennt und sich gegen die Angreifer verteidigt, setzt es es erneut mit einer „Verschiedenheit von Mechanismen“ in Gang, um die Datendiebstahlkampagne am Laufen zu halten.
Bisher ist es Symantec nur gelungen, Geppei mit Cranefly in Verbindung zu bringen, und es bleibt abzuwarten, ob andere Bedrohungsakteure den gleichen Ansatz verfolgen oder nicht.