Investigadores de ciberseguridad de Symantec han descubierto un cuentagotas completamente nuevo que acecha durante meses antes de implementar puertas traseras, malware (se abre en una pestaña nueva)y otras herramientas maliciosas.
en una entrada de blog (se abre en una pestaña nueva)la compañía describió el cuentagotas, conocido como Geppei, que aparentemente está siendo utilizado por Cranefly, un actor de amenazas que Mandiant describió por primera vez en mayo de 2022.
Ahora, Symantec afirma que Cranefly está usando Geppei para eliminar, entre otras cosas, el malware Danfuan, una nueva variante que aún no se ha analizado a fondo.
Nuevos enfoques
Cranefly se dirige, ante todo, a las personas que trabajan en el desarrollo corporativo, fusiones y adquisiciones o grandes transacciones corporativas. El objetivo es recopilar la mayor cantidad de información posible, de ahí el tiempo de permanencia inmensamente largo.
Los investigadores dicen que el grupo puede estar al acecho hasta 18 meses antes de ser detectado. Se las arreglan para lograrlo mediante la instalación de puertas traseras en los puntos finales dentro de la red que, naturalmente, no son compatibles con las herramientas de ciberseguridad, el software antivirus (se abre en una pestaña nueva)y similares. Los dispositivos incluyen matrices SANS, balanceadores de carga o controladores de punto de acceso inalámbrico, dice Symantec.
Otra razón por la que logran quedarse tanto tiempo se debe a un enfoque novedoso para enviar comandos a Geppei. Aparentemente, el cuentagotas lee comandos de un registro de IIS legítimo: «la técnica de leer comandos de registros de IIS no es algo que los investigadores de Symantec hayan visto que se use hasta la fecha en ataques del mundo real», confirmaron los investigadores.
Los registros de IIS se utilizan para registrar datos de IIS, como páginas web y aplicaciones. Al enviar comandos a un servidor web comprometido y presentarlos como solicitudes de acceso web, Geppei puede leerlos como comandos reales.
El grupo también se toma en serio su persistencia, agregaron los investigadores. Cada vez que el objetivo detectaba la intrusión y expulsaba a los atacantes, la volvían a comprometer con una «variedad de mecanismos» para mantener en marcha la campaña de robo de datos.
Hasta ahora, Symantec solo ha logrado vincular a Geppei con Cranefly, y queda por ver si otros actores de amenazas están utilizando el mismo enfoque o no.