קבוצת האקרים של Cranefly, הידועה בשם UNC3524, משתמשת בטכניקה שלא נראתה בעבר של שליטה בנוזקות באמצעות יומנים (Logs) של שרתי האינטרנט Microsoft Internet Information Services (IIS). שרת אינטרנט Microsoft Internet Information Services (IIS) הינו שרת אינטרנט המאפשר אחסון אתרים ויישומי אינטרנט. הוא משמש גם תוכנות אחרות כגון Outlook on the Web (OWA) עבור Microsoft Exchange כדי לארח יישומי ניהול וממשקי אינטרנט.
כמו כל שרת אינטרנט, כאשר משתמש מרוחק ניגש לדף אינטרנט, IIS ירשום את הבקשה לרישום קבצים המכילים את חותמת הזמן, כתובות ה- IP של המקור, כתובת האתר המבוקשת, קודי HTTP ועוד. לוגים אלו משמשים בדרך כלל לפתרון בעיות וניתוח, אך דוח חדש של Symantec מראה שקבוצת ההאקרים משתמשת בטכניקה החדשה של שימוש ביומני IIS כדי לשלוח פקודות לנוזקות באמצעות דלת אחורית. נוזקה בדרך כלל מקבלת פקודות דרך חיבורי רשת לשרתי פקודה ובקרה וארגונים רבים עוקבים אחר תעבורת הרשת כדי למצוא תקשורת זדונית. מצד שני, לוגים של שרת אינטרנט משמשים לאחסון בקשות מכל מבקר ברחבי העולם ולעיתים רחוקות מנוטרים על ידי תוכנות אבטחת מידע, מה שהופך אותם למיקום חדשני לאחסון פקודות זדוניות תוך הפחתת הסיכוי להתגלות. הדבר מזכיר במקצת טכניקה של הסתרת נוזקות בלוגים של Windows, שהתגלתה בחודש מאי השנה, בשימוש על ידי גורמי איומים כדי להתחמק מזיהוי. חוקרים ב- Symantec שגילו את הטקטיקה החדשה הזו אומרים שזו הפעם הראשונה שהם צפו בה בפעולה.
עבור קבוצה של מרגלי סייבר מיומנים כמו Cranefly, שאותרה בעבר על ידי Mandiant כשהם ממוקמים במשך 18 חודשים ברשתות שנפגעו, התחמקות מזיהוי היא גורם מכריע במתקפות הסייבר שלהם. Cranefly משתמשים בטכניקה חמקנית זו על מנת לשמור על דריסת רגל בשרתים שנפגעו ולאסוף בשקט מודיעין. טקטיקה זו גם עוזרת להתחמק ממעקב על ידי רשויות אכיפת החוק וחוקרי סייבר, שכן התוקפים יכולים להעביר פקודות באמצעים שונים כמו שרתי פרוקסי, VPNs, Tor או IDEs.
לא ידוע כמה זמן עשו ההאקרים שימוש בשיטה זו בהתקפות שלהם או כמה שרתים נפגעו. בעוד שמערכות אבטחה רבות כבר עוקבות כנראה אחר לוגים של IIS לאיתור פעילויות חשודות, ייתכן שיהיה צורך להתאים את השיגרות הללו כדי לחפש גם את מחרוזות הפקודות המשמשות בקמפיין סייבר מהסוג שתואר לעיל.
