资讯中心
Our News
崛起的蟌蚊黑客组织推出了新的情报收集工具
Our News
崛起的蟌蚊黑客组织推出了新的情报收集工具
根据 Symantec 的报告,一款名为 TrojanGeppei 的未记录恶意软件利用了一种新的技术,从互联网信息服务IIS日志中读取指令,以进行情报收集并传递后门。
TrojanGeppei相关的威胁行为者被称为 Cranefly也称为 UNC3524,该组织利用这款滴落器来安装未记录的恶意软件和工具。Cranefly 是一个黑客团体,专门针对企业网络,窃取员工关于更大金融交易如 合并与收购的电子邮件。
“到目前为止,我们从未在现实攻击中看到这种技术。理论上,这可以用于传递不同类型的恶意软件,如果被拥有不同目标的威胁行为者利用,”Symantec 威胁狩猎团队的高级情报分析师 Brigid O Gorman 向 SC Media 解释道。
在恶意活动中,Dropper 从合法的 IIS 日志中读取命令,这些日志旨在记录来自 IIS 的数据,包括网页和应用程序。
“攻击者可以通过将命令伪装为网页访问请求,向被攻陷的 Web 服务器发送命令。IIS 会将其记录为正常访问,但如果这些命令包含 Wrde、Exco 或 Cllo 字符串,Dropper 就可以将其解读为命令,”Gorman 解释道。
根据文章补充,这些字符串似乎用于 Geppei 的恶意 HTTP 请求解析;这些字符串的出现促使 Dropper 在机器上执行活动。
同时,Dropper 还部署了一种名为 TrojanDanfuan 的前所未见的恶意软件。该软件基于 NET 动态编译技术,是一种动态代码编译器,能够编译和执行接收到的 C# 代码,并在被攻陷的系统上作为后门使用。
轻蜂加速器官网下载研究人员指出,新技术和定制工具的使用表明 Cranefly 是“相当熟练的威胁行为者”。 Mandiant 于 2019 年 12 月首次揭露该组织, 表示 虽然其针对企业交易的目标暗示了金融动机,但他们在 2021 年的平均潜伏时间达到 21 天,则可能表明其还有间谍活动的使命。
Symantec 的调查结果得出了类似的结论。“尽管我们未看到从受害者机器中提取的数据,但所部署的工具和隐藏活动所采取的努力表明,该组织最可能的动机是情报收集,”文章指出。
