Inserire i comandi per il controllo del malware nei log di IIS è geniale. Scopriamo questa tecnica di Cranefly

Inserire i comandi per il controllo del malware nei log di IIS è geniale. Scopriamo questa tecnica di Cranefly

Data Breach Registy News Commenti disabilitati su Inserire i comandi per il controllo del malware nei log di IIS è geniale. Scopriamo questa tecnica di Cranefly 0

Source: Redhotcyber
Inserire i comandi per il controllo del malware nei log di IIS è geniale. Scopriamo questa tecnica di Cranefly

Microsoft Internet Information Services (IIS) è un server Web che consente l’hosting di siti Web e applicazioni Web. Viene utilizzato anche da altri software come Outlook sul Web (OWA) per Microsoft Exchange per ospitare app di gestione e interfacce Web.

Il gruppo di hacker Cranefly, noto anche come UNC3524, utilizza una tecnica mai vista prima per controllare il malware sui dispositivi infetti tramite i registri del server Web di Microsoft Internet Information Services (IIS).

Come qualsiasi server Web, quando un utente remoto accede a una pagina Web, IIS registrerà la richiesta per registrare i file che contengono il timestamp, gli indirizzi IP di origine, l’URL richiesto, i codici di stato HTTP e altro ancora.

Questi registri vengono in genere utilizzati per la risoluzione dei problemi, ma un nuovo rapporto di Symantec mostra che un gruppo di hacker utilizza la nuova tecnica di utilizzo dei registri IIS per inviare comandi al malware backdoor installato sul dispositivo.

Il malware riceve comunemente comandi tramite connessioni di rete ai server di comando e controllo. Tuttavia, molte organizzazioni monitorano il traffico di rete per trovare comunicazioni dannose.

D’altra parte, i registri del server Web vengono utilizzati per archiviare le richieste di qualsiasi visitatore in tutto il mondo e sono raramente monitorati da software di sicurezza, il che li rende un luogo interessante per archiviare comandi dannosi riducendo le possibilità di essere rilevati.

Questo è in qualche modo simile alla tecnica per nascondere il malware nei registri eventi di Windows , vista a maggio 2022, utilizzata dagli attori delle minacce per eludere il rilevamento.

I ricercatori di Symantec che hanno scoperto questa nuova tattica affermano che è la prima volta che si è osservato un fenomeno simile.

Per un gruppo di abili spie informatiche come Cranefly, precedentemente individuato da Mandiant che ha trascorso 18 mesi in reti compromesse, eludere il rilevamento è un fattore cruciale nelle loro campagne dannose.

L’articolo Inserire i comandi per il controllo del malware nei log di IIS è geniale. Scopriamo questa tecnica di Cranefly proviene da Red Hot Cyber.

Condividi questo post

Related Posts

Obsolescenza tecnologica: 45.000 server VMware ESXi sono in End of Life

Source: Redhotcyber Obsolescenza tecnologica: 45.000 server VMware ESXi sono in End of Life A partire dal 15 ottobre 2022,...

Leggi di più

12 milioni di telefoni e dati di italiani nel darkweb a 49 dollari

Source: Redhotcyber 12 milioni di telefoni e dati di italiani nel darkweb a 49 dollari Avete capito bene. E...

Leggi di più

Uscite le regole YARA per le versioni non ufficiali di Cobalt Strike

Source: Redhotcyber Uscite le regole YARA per le versioni non ufficiali di Cobalt Strike Google Cloud Threat Intelligence ha...

Leggi di più

Hackerata la televisione di stato iraniana. Il telegiornale serale interrotto dagli hacker

Il telegiornale serale è stato interrotto da un video del leader supremo iraniano, l’Ayatollah Khamenei, in fiamme e con un...

Leggi di più

Attacco informatico all’italiana CVA. Ne da notizia la stessa azienda

Source: Redhotcyber Attacco informatico all’italiana CVA. Ne da notizia la stessa azienda La rete informatica della CVA S.p.A. Compagnia...

Leggi di più