I ricercatori di Symantec hanno scoperto una nuova tecnica utilizzata dal gruppo Cranefly per distribuire e controllare il dropper Geppei e altri malware. I cybercriminali inviano richieste di accesso ai server con Microsoft Internet Information Services (IIS) per scrivere specifici comandi nei log IIS, successivamente letti ed eseguiti dal dropper.
Trucco molto ingegnoso
L’attacco contro i server IIS prevede l’invio di comandi nascosti in normali richieste di accesso. Il server memorizza questi comandi nei log, come avviene normalmente. I comandi contengono file .ashx, all’interno dei quali ci sono le stringhe Wrde, Exco e Cllo, interpretate dal dropper Geppei.
Se la successiva richiesta HTTP contiene la stringa Wrde, Geppei scarica e installa la web shell ReGeorg e il trojan Danfuan. Se la richiesta HTTP contiene la stringa Exco, il dropper esegue comandi sul server compromsso. Infine, se la richiesta HTTP contiene la stringa Cllo, Geppei scarica il tool sckspy.exe che disattiva il logging del Service Control Manager.
È presente anche una funzione che rimuove dai log IIS le linee contenenti i comandi e i percorsi dei file .ashx. Il gruppo Cranefly utilizza questa tecnica per nascondere le tracce ai tool che monitorano le attività sui server. Geppei è gli altri malware vengono fortunatamente rilevati e bloccati dalle soluzioni di sicurezza, tra cui Norton 360 Premium.
Ti potrebbe interessare
30 ott 2022