Pour ce faire, les pirates n’ont utilisé que quelques-unes de leurs propres commandes que Microsoft IIS ne connaît pas et qui se retrouvent dans le journal via des requêtes HTTP.
Le groupe de pirates informatiques Cranefly abuse des protocoles des services d’information Internet (IIS) de Microsoft pour envoyer des commandes à un compte-gouttes et l’utiliser pour injecter d’autres portes dérobées dans le système. Étant donné que le serveur Web ne traite que des chaînes inoffensives, il enregistre les commandes cachées dans les requêtes HTTP sans aucun soupçon. La sophistication des hackers suggère qu’ils sont plus que de simples script kiddies désemparés.
Cranefly utilise les protocoles IIS pour communiquer avec les logiciels malveillants
Les chercheurs en sécurité de Symantec ont identifié une nouvelle méthode utilisée par les attaquants pour contrôler les logiciels malveillants à l’aide des protocoles IIS. Un compte-gouttes précédemment non documenté a été utilisé, qui lit des commandes apparemment inoffensives à partir des journaux d’IIS de Microsoft et installe par conséquent des portes dérobées et d’autres outils.
Comme « Cranefly » ou aussi « UNC3524« Les pirates ont utilisé au moins deux portes dérobées, qui ont trouvé leur chemin vers les systèmes concernés via le compte-gouttes susmentionné. Le groupe de hackers est apparu pour la première fois dans un rapport de Mandiant en mai 2022. À l’époque, elle ciblait encore les e-mails liés aux grandes transactions d’entreprise telles que les fusions et acquisitions.
Les journaux IIS transmettent des commandes à un dropper
Comme les chercheurs en sécurité de Symantec l’ont documenté dans leur rapport, le compte-gouttes déployé de Cranefly indique « Cheval de Troie.Geppei» Commandes issues des logs du serveur web IIS de Microsoft. En faisant de simples demandes d’accès aux ressources Web, les attaquants trompent le serveur pour qu’il enregistre certaines chaînes de caractères. Le compte-gouttes peut alors lire et interpréter cela.
Les chercheurs ont parfois identifié les cordes »dignité« , « Exco » et « Clo‘, qui n’apparaissent généralement pas dans les journaux IIS. Ils ne représentent que des modules de texte sans signification pour le serveur Web, mais Geppei exerce des activités sur le système infiltré en se basant sur eux. Cranefly a même pu utiliser des URL inexistantes pour les requêtes au serveur, puisque IIS enregistre également les requêtes HTTP avec le code d’erreur 404 par défaut.
Par exemple, ils peuvent ressembler à ceci :
GET [dummy string]Wrde[passed string to wrde()]Wrde[dummy string]Les chaînes transmises sont sous forme chiffrée. Une fois que le compte-gouttes les a déchiffrés, ils ressemblent à ceci :
w+1+C:\\inetpub\\wwwroot\\test\\backdoor.ashxCela créera une nouvelle porte dérobée malveillante sous le chemin spécifié. Les commandes « Exco » et « Clo» fonctionnent de manière identique, mais ont eux-mêmes des tâches différentes.
Cranefly ne semble pas inexpérimenté
L’une des portes dérobées plantées par Cranefly via les journaux IIS est « Hacktool.Regeorg», que d’autres groupes de hackers ont déjà utilisé avec succès. Le code de ce malware est accessible au public sur GitHub. C’est un shell Web qui peut créer un proxy SOCKS. La deuxième porte dérobée identifiée »Cheval de Troie.Danfuan” est un DynamicCodeCompiler qui compile et exécute le code C# reçu.
En raison de l’approche sophistiquée et de la nouvelle technologie, les chercheurs en sécurité de Symantec soupçonnent Cranefly d’être un groupe de pirates assez expérimenté. Bien que les chercheurs n’aient trouvé aucune preuve que les attaquants aient réellement exfiltré des données des serveurs IIS, ils pensent que la collecte d’informations est probablement la principale motivation des pirates.
Il y a à peine un mois, nous avons signalé une porte dérobée que des attaquants ont introduite clandestinement dans les systèmes cibles en utilisant une image avec un logo Windows. Les chercheurs en sécurité de Symantec ont également découvert ce cas à l’époque.