研究人员发现了大蚊间谍黑客所使用的秘密技术

最近发现的一个针对处理公司交易的雇员的黑客集团已经与一个名为Danfuan的新后门联系在一起。

这一迄今为止没有记录的恶意软件是通过另一个名为Geppei的投递者，来自赛门铁克的研究人员，通过Broadcom软件，在与《黑客新闻》的一份报告中说。

研究人员说，”滴管”被用来安装一个新的后门和其他工具，使用新技术从看似无害的互联网信息服务( IIS )日志中读取命令。

该工具集被网络安全公司归因于一个名为UNC3524 (又名大蚊)的可疑间谍行为者，该公司于2022年5月首次曝光，其重点是处理并购和其他金融交易的受害者的大量电子邮件收集。

该集团的主要恶意软件之一是QUIETEXIT，它是部署在不支持反病毒或端点检测的网络设备上的后门，如负载平衡器和无线接入点控制器，使攻击者能够在雷达下长时间飞行。

  Geppei和Danfuan添加到大蚊的自定义网络武器中，前者通过读取IIS日志中伪装成无害的Web访问请求发送到受损服务器的命令来充当投递者。

研究人员指出，Geppei读取的命令包含恶意编码的.ashx文件。这些文件被保存到由命令参数决定的任意文件夹中，并作为后门运行。

这包括一个名为reGeorg的web shell，它已经被其他行为者如APT28、DeftTorero和Worok使用，以及一个从未见过的恶意软件Danfuan，它被设计来执行接收到的C #代码。

赛门铁克表示，尽管在受损网络上的停留时间长达18个月，但它还没有观察到威胁行为者从受害机器中泄漏数据。

研究人员得出结论：”使用一种新的技术和定制工具，以及在受害者机器上隐藏这种活动痕迹的步骤，表明大蚊是一个相当熟练的威胁行为者。”

  “为掩盖这一活动而部署的工具和采取的努力表明，这个群体的动机可能是情报搜集。”