Một nhóm hack được phát hiện gần đây được biết đến với việc nhắm mục tiêu vào các nhân viên xử lý các giao dịch của công ty đã được liên kết với một cửa hậu mới có tên là Danfuan.
Phần mềm độc hại không có giấy tờ cho đến nay này được phân phối thông qua một ống nhỏ giọt khác có tên Geppei, các nhà nghiên cứu từ Symantec, bởi Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker VN.
Ống nhỏ giọt "đang được sử dụng để cài đặt một cửa hậu mới và các công cụ khác bằng cách sử dụng kỹ thuật đọc lệnh mới lạ từ các bản ghi Dịch vụ Thông tin Internet (IIS) dường như vô hại", các nhà nghiên cứu cho biết.
Bộ công cụ này đã được công ty an ninh mạng gán cho một diễn viên gián điệp bị nghi ngờ có tên UNC3524, hay còn gọi là Cranefly, lần đầu tiên được đưa ra ánh sáng vào tháng 2022 năm XNUMX vì tập trung vào việc thu thập email hàng loạt từ các nạn nhân liên quan đến việc sáp nhập và mua lại và các giao dịch tài chính khác.
Một trong những chủng phần mềm độc hại quan trọng của nhóm là QUIETEXIT, một cửa hậu được triển khai trên các thiết bị mạng không hỗ trợ phát hiện chống vi-rút hoặc điểm cuối, chẳng hạn như bộ cân bằng tải và bộ điều khiển điểm truy cập không dây, cho phép kẻ tấn công bay dưới radar trong thời gian dài.
Geppei và Danfuan thêm vào vũ khí mạng tùy chỉnh của Cranefly, với việc trước đây đóng vai trò nhỏ giọt bằng cách đọc các lệnh từ nhật ký IIS giả mạo là các yêu cầu truy cập web vô hại được gửi đến một máy chủ bị xâm phạm.
"Các lệnh do Geppei đọc có chứa các tệp .ashx được mã hóa độc hại", các nhà nghiên cứu lưu ý. "Các tệp này được lưu vào một thư mục tùy ý được xác định bởi tham số lệnh và chúng chạy dưới dạng cửa hậu."
Điều này bao gồm một trình bao web được gọi là reGeorg, đã được đưa vào sử dụng bởi các tác nhân khác như APT28, DeftTorero và Worok, và một phần mềm độc hại chưa từng thấy có tên Danfuan, được thiết kế để thực thi mã C # đã nhận.
Symantec cho biết họ đã không quan sát thấy tác nhân đe dọa xâm nhập dữ liệu từ máy nạn nhân mặc dù thời gian dừng lâu dài là 18 tháng trên các mạng bị xâm phạm.
"Việc sử dụng một kỹ thuật mới và các công cụ tùy chỉnh, cũng như các bước được thực hiện để che giấu dấu vết của hoạt động này trên các máy nạn nhân, cho thấy Cranefly là một tác nhân đe dọa khá lành nghề," các nhà nghiên cứu kết luận.
"Các công cụ được triển khai và những nỗ lực được thực hiện để che giấu hoạt động này [...] chỉ ra rằng động lực có khả năng nhất cho nhóm này là thu thập thông tin tình báo.