美國資安業者賽門鐵克揭露駭客組織Cranefly(又稱UNC3524)之攻擊行動,其利用Microsoft Internet Information Services (IIS)之伺服器日誌控制受駭電腦中之惡意軟體。Microsoft IIS為建立網站與網頁應用程式之網頁伺服器,當使用者存取網頁時,Microsoft IIS會將存取紀錄儲存至日誌檔中。日誌檔通常用於分析資料與故障排除,惟賽門鐵克發現駭客組織正利用IIS日誌於受駭電腦上安裝後門惡意軟體發送命令。
賽門鐵克資安研究人員發現,Cranefly於受駭伺服器內安裝木馬程式下載器「Trojan.Geppei」。Geppei安裝後可直接讀取IIS日誌,查找含有特定單字(Wrde、Exco及Cllo)之字串,分析字串以解析指令,並根據指令安裝其他惡意軟體、執行命令或刪除檔案。
Cranefly使用之隱藏技術可持續於受駭之伺服器蒐集情資,此技術亦有助於躲避執法部門與研究人員之分析,因駭客可透過代理伺服器、VPN或Tor等各種方式向受駭伺服器傳送命令,雖不清楚有多少伺服器遭受入侵,惟目前尚未發現有資料外洩事件。
https://www.bleepingcomputer.com/news/security/hackers-use-microsoft-iis-web-server-logs-to-control-malware/
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cranefly-new-tools-technique-geppei-danfuan