- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 6ч 10м
- Сделки
- 251
- Нарушения
- 0 / 0
По словам исследователей, Geppei использует новую технику чтения команд из журналов Internet Information Services (IIS) для установки Danfuan и других хакерских инструментов. Кроме того, дроппер считывает команды, содержащие вредоносные файлы в формате .ashx, которые сохраняются в произвольной папке, определяемой параметром команды, и запускаются как бэкдоры.
Symantec приписала этот набор инструментов группировке UNC3524, она же Cranefly, о которой впервые стало известно в мае 2022 года. Тогда злоумышленники массово собирали электронную почту жертв, занимающихся слияниями, поглощениями и другими финансовыми операциями.
Визитной карточкой этой группировки является QUIETEXIT – бэкдор, устанавливаемый на сетевые устройства, которые не поддерживают антивирусы или не обнаруживают угрозы на конечных точках, что позволяет злоумышленникам очень долго оставаться в сети, при этом оставаясь незамеченными.
Согласно заявлению Symantec, Cranefly не была замечена в краже данных с устройств жертв, несмотря на то, что могла по 18 месяцев находиться в зараженных сетях. Подводя итоги, специалисты назвали Cranefly опытной бандой хакеров, которые используют специальные инструменты для атак и активно заметают свои следы.