Eine neue Methode zur Steuerung von Malware über Microsofts Internet Information Services (IIS) wurde von der Hackergruppe Cranefly entwickelt. Durch eigene Befehle die der IIS nicht kennt, können die Hacker mithilfe von HTTP-Anfragen Befehle an einen Dropper senden und dadurch weitere Backdoors in das System einschleusen. Die raffinierte Vorgehensweise der Hacker lässt vermuten, dass sie weiterhin als nur ahnungslose Skript-Kiddies sind.
Cranefly nutzt IIS-Protokolle um mit einer Malware zu kommunizieren
Die Sicherheitsforscher von Symantec haben eine neuartige Methode identifiziert, mit der Angreifer mithilfe von IIS-Protokollen eine Malware steuern. Dabei kam ein bisher nicht dokumentierter Dropper zum Einsatz der scheinbar harmlose Befehle aus den Protokollen von Microsofts IIS ausliest und infolgedessen Backdoors und weitere Tools installiert.
Hackergruppe Cranefly nutzte mindestens zwei Backdoors um ihre Ziele zu erreichen
Die als "Cranefly" oder ebenfalls "UNC3524" bezeichneten Hacker setzten mindestens zwei Backdoors ein die ihren Weg über den genannten Dropper auf betroffene Systeme fanden. Erstmals tauchte die Gruppe im Mai 2022 in einem Bericht von Mandiant auf wie sie es noch auf E-Mails abgesehen hatte die mit großen Unternehmenstransaktionen wie Fusionen und Übernahmen in Verbindung standen.
IIS-Protokolle übermitteln Befehle an einen Dropper
Die Forscher identifizierten mitunter die Zeichenfolgen "Wrde", "Exco" und "Cllo" die normalerweise nicht in IIS-Protokollen auftauchen und von dem Dropper "Trojan.Geppei" ausgelesen werden. Sie stellen für den Webserver nur bedeutungslose Textbausteine dar. Doch Geppei führt darauf basierend Aktivitäten auf dem infiltrierten System aus. Für die Anfragen an den Server konnte Cranefly sogar nicht existierende URLs einsetzen, da der IIS standardmäßig auch HTTP-Anfragen mit Fehlercode 404 protokolliert.
Cranefly scheint nicht unerfahren zu sein
Eine der von Cranefly über die IIS-Protokolle eingeschleusten Backdoors ist "Hacktool.Regeorg" die auch von anderen Hackergruppen erfolgreich eingesetzt wurde. Der Code dieser Malware ist öffentlich auf GitHub zugänglich. Die zweite identifizierte Backdoor "Trojan.Danfuan" ist ein DynamicCodeCompiler der empfangenen C#-Code kompiliert und ausführt.
Vermutlich ist Informationssammlung die Hauptmotivation der Hacker
Obwohl die Forscher keine Anhaltspunkte dafür fanden. Dass Angreifer tatsächlich Daten von IIS-Servern exfiltrierten nehmen sie an dass das Sammeln von Informationen wahrscheinlich die Hauptmotivation der Hacker ist. Aufgrund der raffinierten Vorgehensweise und der neuartigen Technik vermuten die Sicherheitsforscher von Symantec: Es sich bei Cranefly um eine recht erfahrene Hackergruppe handelt.
Ein weiterer Fall von Backdoor-Attacken
Vor einem Monat berichteten die Sicherheitsforscher von Symantec über eine Backdoor die Angreifer über ein Bild mit einem Windows-Logo auf Zielsystemen einschleusten. Auch in diesem Fall handelte es sich um eine innovative Methode » die von Hackern genutzt wurde « um unbemerkt in Systeme einzudringen. Es bleibt zu hoffen; dass solche Angriffe in Zukunft immer zuverlässiger unterbunden werden können.
Kommentare