Kurumsal işlemlerle uğraşan çalışanları hedef almasıyla tanınan kısa süre önce keşfedilen bir bilgisayar korsanlığı grubu, adı verilen yeni bir arka kapıyla ilişkilendirildi. Danfuan.
Symantec araştırmacıları Broadcom Software tarafından The Hacker News ile paylaşılan bir raporda, şimdiye kadar belgelenmemiş bu kötü amaçlı yazılımın Geppei adlı başka bir damlalık aracılığıyla teslim edildiğini söyledi.
Araştırmacılar, damlalığın “görünüşte zararsız İnternet Bilgi Servisleri (IIS) günlüklerinden komutları okumanın yeni tekniğini kullanarak yeni bir arka kapı ve diğer araçları kurmak için kullanılıyor” dedi.
Araç seti, siber güvenlik şirketi tarafından, birleşme ve satın almalar ve diğer finansal işlemlerle uğraşan mağdurlardan toplu e-posta toplamaya odaklandığı için ilk olarak Mayıs 2022’de ortaya çıkan, Cranefly olarak da bilinen UNC3524 adlı şüpheli bir casusluk aktörüne atfedildi.
Grubun en önemli kötü amaçlı yazılım türlerinden biri, yük dengeleyiciler ve kablosuz erişim noktası denetleyicileri gibi virüsten koruma veya uç nokta algılamayı desteklemeyen ağ cihazlarına dağıtılan ve saldırganın uzun süre boyunca algılamadan kaçmasını sağlayan bir arka kapı olan QUIETEXIT’tir.
Geppei ve Danfuan, Cranefly’nin özel siber silahlarına katkıda bulunur; birincisi, güvenliği ihlal edilmiş bir sunucuya gönderilen zararsız web erişim istekleri gibi görünen IIS günlüklerinden komutları okuyarak bir damlalık görevi görür.
Araştırmacılar, “Geppei tarafından okunan komutlar kötü amaçlı kodlanmış .ashx dosyaları içeriyor” dedi. “Bu dosyalar, komut parametresi tarafından belirlenen rastgele bir klasöre kaydedilir ve arka kapı olarak çalışırlar.”
Bu, APT28, DeftTorero ve Worok gibi diğer aktörler tarafından kullanılmaya başlanan reGeorg adlı bir web kabuğunu ve alınan C# kodunu yürütmek üzere tasarlanmış, Danfuan adlı daha önce hiç görülmemiş bir kötü amaçlı yazılımı içerir.
Symantec, güvenliği ihlal edilmiş ağlarda 18 aylık uzun bir bekleme süresine rağmen, tehdit aktörünün kurban makinelerden veri sızdırdığını gözlemlemediğini söyledi.
Araştırmacılar, “Yeni bir teknik ve özel araçların kullanılması ve bu etkinliğin izlerini kurban makinelerde gizlemek için atılan adımlar, Cranefly’nin oldukça yetenekli bir tehdit aktörü olduğunu gösteriyor.”
“Bu faaliyeti gizlemek için kullanılan araçlar ve gösterilen çabalar […] Bu grup için en olası motivasyonun istihbarat toplamak olduğunu gösteriyor.”