Les chercheurs en cybersécurité de Symantec ont découvert un tout nouveau compte-gouttes qui se cache pendant des mois avant de déployer des portes dérobées, des logiciels malveillants (s’ouvre dans un nouvel onglet)et d’autres outils malveillants.
Dans un article de blog (s’ouvre dans un nouvel onglet)la société a décrit le compte-gouttes, connu sous le nom de Geppei, qui est apparemment utilisé par Cranefly, un acteur menaçant qui a été décrit pour la première fois par Mandiant en mai 2022.
Maintenant, Symantec affirme que Cranefly utilise Geppei pour supprimer, entre autres, le malware Danfuan – une toute nouvelle variante qui n’a pas encore été analysée en profondeur.
Nouvelles approches
Cranefly s’adresse en premier lieu aux personnes travaillant sur le développement d’entreprise, les fusions et acquisitions ou les transactions de grandes entreprises. Le but est de rassembler autant d’informations que possible, d’où le temps de séjour immensément long.
Les chercheurs disent que le groupe peut se cacher jusqu’à 18 mois avant d’être repéré. Ils parviennent à y parvenir en installant des portes dérobées sur les terminaux du réseau qui ne prennent pas naturellement en charge les outils de cybersécurité, les logiciels antivirus (s’ouvre dans un nouvel onglet), et similaires. Les appareils comprennent des baies SANS, des équilibreurs de charge ou des contrôleurs de points d’accès sans fil, explique Symantec.
Une autre raison pour laquelle ils parviennent à rester si longtemps est due à une nouvelle approche pour envoyer des commandes à Geppei. Apparemment, le compte-gouttes lit les commandes à partir d’un journal IIS légitime – « la technique de lecture des commandes à partir des journaux IIS n’est pas quelque chose que les chercheurs de Symantec ont vu être utilisé à ce jour dans des attaques réelles », ont confirmé les chercheurs.
Les journaux IIS sont utilisés pour enregistrer les données d’IIS, telles que les pages Web et les applications. En envoyant des commandes à un serveur Web compromis et en les présentant comme des demandes d’accès Web, Geppei peut les lire comme de véritables commandes.
Le groupe prend également sa persévérance au sérieux, ont ajouté les chercheurs. Chaque fois que la cible repère l’intrusion et repousse les attaquants, elle la compromet à nouveau avec une « variété de mécanismes » pour maintenir la campagne de vol de données.
Jusqu’à présent, Symantec n’a réussi qu’à lier Geppei à Cranefly, et il reste à voir si d’autres acteurs de la menace utilisent ou non la même approche.