IOC:
12eaac1b8dc29ba29287e7e30c893017f82c6fadb73dbc8ef2fa6f5bd5d9d84e
981b28d7521c5b02f026cb1ba5289d61ae2c1bb31e8b256db21b5dcfb8837475
6dcfa79948cf90b10b05b59237cf46adb09b2ce53bc2c0d38fce875eccd3a7e1
0af8bf1fa14fe492de1cc870ac0e01fc8b2f6411de922712a206b905a10ee379
7d5018d823939a181a84e7449d1c50ac3eb94abf3585a2154693ef5180877b95
b5a4804cf7717fda1f01f23c1c2fe99fe9473b03f0247bcc6190f17d26856844
1975bea7ca167d84003b601f0dfb95c4b31a174ce5af0b19e563cb33cba22ffa
56243c851b13218d3031ca7e5af8f2b891e139cbd6d7e3f40508e857802a1077
0b8d024ec29619ff499e4b5024ff14451731a4e3155636a02ef5db2df0e0f0dd
0b168638224589937768eb15c9ebbe795d6539d1fbe744a8f065fedd569bfc5e
요약:
Symantec Enterprise 블로그 위협 인텔리전스 메뉴 메인 메뉴 블로그 홈 위협 인텔리전스 - 모든 부서 기능 스토리 - Symantec Enterprise Expert Perspections - Symantec Enterprise Product Insights Rasonware SolarWinds RSA Conference 검색 Broadcom 홈 위협 헌터 팀 게시: 2022년 10월 28일 9분 위협 인텔리전스 T 읽기번역: Cranefly에서 링크된 영어 구독 팔로우 트위터: Threat Actor 은밀한 캠페인 그룹에서 이전에 볼 수 없었던 기술과 도구를 사용합니다. 합법적인 IIS 로그에서 명령을 읽는 새로운 방법을 사용합니다. 2022년 11월 2일 업데이트: UNC3524에 대한 링크와 관련된 새로운 정보로 업데이트되었습니다.
Broadcom Software의 Symantec은 악의가 없어 보이는 인터넷 정보 서비스(IIS) 로그에서 명령을 읽는 새로운 기술을 사용하여 새로운 백도어 및 기타 도구를 설치하는 데 사용되는 이전에 문서화되지 않은 드로퍼를 발견했습니다.
드롭퍼(트로이언).Gepei)는 Symantec이 Cranefly라고 부르는 배우가 지금까지 문서화되지 않은 악성 프로그램(Trojan)의 다른 부분을 설치하기 위해 사용하고 있습니다.Danfuan) 및 기타 도구. IIS 로그에서 명령을 읽는 기술은 Symantec 연구원들이 현재까지 실제 공격에 사용되는 것을 본 적이 없다.
초기 분석은 Cranefly 활동과 Mandiant가 2022년 5월에 블로그를 발표한 UNC3524라는 그룹의 활동 사이의 연관성을 보여주는 것으로 보였다. 이 링크는 주로 Regorg 웹 셸의 사용에 기반을 두었지만, Github에서 공개적으로 사용할 수 있기 때문에 사용만으로는 확실한 링크를 설정하기에 충분하지 않다.
기술적 세부사항
Symantec 연구원들이 피해자의 기계에서 본 첫 번째 악의적인 활동은 이전에 문서화되지 않은 드로퍼(Trojan)의 존재였다.게페이). 파이썬 스크립트를 실행 파일로 변환하는 PyInstaller를 사용한다.
Gepei는 합법적인 IIS 로그에서 명령을 읽습니다. IIS 로그는 웹 페이지 및 앱과 같은 IIS의 데이터를 기록하기 위한 것입니다. 공격자는 손상된 웹 서버에 명령을 전송할 수 있습니다. 이 명령은...
두루미플라이: 비밀 캠페인에서 이전에 볼 수 없었던 기술과 도구를 사용하는 위협 행위자 | Symantec Enterprise 블로그:
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cranefly-new-tools-technique-geppei-danfuan
'Security > News' 카테고리의 다른 글
| 샌드박스 회피의 광활한 바다를 항해 관련 IOC 6개 발견 (0) | 2023.01.24 |
|---|---|
| 이란에서 중국의 장난꾸러기 황소자리 활동 관련 IOC 79개 발견 (0) | 2023.01.24 |
| 블루보틀: 아프리카 프랑스어권 국가의 은행을 강타한 캠페인 | Symantec Enterprise 블로그 관련 IOC 67개 발견 (0) | 2023.01.24 |
| 빌버그: 국가가 후원하는 Actor Targets Cert Authority, 여러 아시아 국가의 정부 기관 | Symantec Enterprise 블로그 관련 IOC 23개 발견 (0) | 2023.01.24 |
| 유튜브는 나의 C2 - bit_of_hex 관련 IOC 158개 발견 (0) | 2023.01.24 |