Eine kürzlich entdeckte Hackergruppe, die dafür bekannt ist, dass sie es auf Angestellte abgesehen hat, die mit Unternehmenstransaktionen zu tun haben, wurde mit einer neuen Backdoor namens Danfuan in Verbindung gebracht.
Diese bisher nicht dokumentierte Malware wird über einen anderen Dropper namens Geppei verbreitet, so Forscher von Symantec, by Broadcom Software, in einem Bericht an The Hacker News.
Der Dropper „wird benutzt, um eine neue Backdoor und andere Tools zu installieren, indem er Befehle aus scheinbar harmlosen Internet Information Services (IIS) Protokollen ausliest“, so die Forscher.
Das Toolset wird von der Cybersecurity-Firma einem mutmaßlichen Spionage-Akteur namens UNC3524, auch bekannt als Cranefly, zugeschrieben, der im Mai 2022 bekannt wurde, weil er sich auf das Sammeln von Massen-E-Mails von Opfern konzentrierte, die mit Fusionen und Übernahmen und anderen finanziellen Transaktionen zu tun haben.
Einer der wichtigsten Malware-Stämme der Gruppe ist QUIETEXIT, eine Hintertür, die in Netzwerkgeräten eingesetzt wird, die keine Antiviren- oder Endpunkt-Erkennung unterstützen, wie z. B. Load Balancer und Wireless Access Point Controller, und die es dem Angreifer ermöglicht, für längere Zeit unerkannt zu bleiben.
Geppei und Danfuan ergänzen Craneflys benutzerdefinierte Cyberwaffen. Ersterer fungiert als Dropper, indem er Befehle aus IIS-Protokollen ausliest, die sich als harmlose Webzugriffsanfragen tarnen, die an einen kompromittierten Server gesendet werden.
„Die von Geppei gelesenen Befehle enthalten bösartige verschlüsselte .ashx-Dateien“, so die Forscher. „Diese Dateien werden in einem beliebigen, durch den Befehlsparameter festgelegten Ordner gespeichert und als Backdoors ausgeführt.
Dazu gehört eine Web-Shell namens reGeorg, die bereits von anderen Akteuren wie APT28, DeftTorero und Worok eingesetzt wurde, sowie eine noch nie dagewesene Malware namens Danfuan, die so konstruiert ist, dass sie empfangenen C#-Code ausführt.
Nach Angaben von Symantec hat der Bedrohungsakteur trotz einer langen Verweildauer von 18 Monaten in kompromittierten Netzwerken noch keine Daten von den Rechnern der Opfer exfiltriert.
„Die Verwendung einer neuartigen Technik und benutzerdefinierter Tools sowie die Schritte, die unternommen wurden, um Spuren dieser Aktivität auf den Rechnern der Opfer zu verbergen, deuten darauf hin, dass es sich bei Cranefly um einen ziemlich erfahrenen Bedrohungsakteur handelt“, so die Forscher.
„Die eingesetzten Tools und die Anstrengungen, die unternommen wurden, um diese Aktivitäten zu verbergen, […] deuten darauf hin, dass die wahrscheinlichste Motivation für diese Gruppe das Sammeln von Informationen ist.