Кибершпионы перевооружились: исследователи рассказали об инструментах группировки Cranefly

[Artifact]

В руках злоумышленников оказались дроппер Geppei и бэкдор Danfuan.
Про новую группировку кибершпионов Cranefly и их инструменты рассказали исследователи из Symantec. Проанализировав деятельность злоумышленников, специалисты обнаружили в их арсенале бэкдор Danfuan и дроппер Geppei.
По словам исследователей, Geppei использует новую технику чтения команд из журналов Internet Information Services (IIS) для установки Danfuan и других хакерских инструментов. Кроме того, дроппер считывает команды, содержащие вредоносные файлы в формате .ashx, которые сохраняются в произвольной папке, определяемой параметром команды, и запускаются как бэкдоры.
Symantec приписала этот набор инструментов группировке UNC3524, она же Cranefly, о которой впервые стало известно в мае 2022 года. Тогда злоумышленники массово собирали электронную почту жертв, занимающихся слияниями, поглощениями и другими финансовыми операциями.
Визитной карточкой этой группировки является QUIETEXIT – бэкдор, устанавливаемый на сетевые устройства, которые не поддерживают антивирусы или не обнаруживают угрозы на конечных точках, что позволяет злоумышленникам очень долго оставаться в сети, при этом оставаясь незамеченными.
Согласно заявлению Symantec, Cranefly не была замечена в краже данных с устройств жертв, несмотря на то, что могла по 18 месяцев находиться в зараженных сетях. Подводя итоги, специалисты назвали Cranefly опытной бандой хакеров, которые используют специальные инструменты для атак и активно заметают свои следы.