برنامج EAGERBEE الخبيث

تم رصد إصدار محدث حديثًا من إطار عمل البرامج الضارة EAGERBEE يستهدف مزودي خدمة الإنترنت (ISPs) والمنظمات الحكومية في الشرق الأوسط.

يتضمن هذا الإصدار الأخير، المعروف أيضًا باسم Thumtais، مجموعة من المكونات التي تمكنه من نشر حمولات إضافية واستكشاف أنظمة الملفات وتنفيذ واجهات الأوامر. تمثل هذه التحسينات تقدمًا كبيرًا في قدراته.

التصميم المعياري والفئات الوظيفية

يعتمد الباب الخلفي على مكونات إضافية رئيسية، والتي يمكن تجميعها بناءً على وظائفها: Plugin Orchestrator، File System Manipulation، Remote Access Manager، Process Exploration، Network Connection Listing وService Management. وقد ربط باحثو الأمن السيبراني بين EAGERBEE بثقة متوسطة ومجموعة تهديد تُعرف باسم CoughingDown.

في البداية، ارتبطت EAGERBEE بمجموعة تجسس إلكتروني ترعاها الدولة تسمى REF5961. ورغم أن هذا الباب الخلفي بسيط من الناحية الفنية، فإنه يدعم قنوات التحكم الأمامية والخلفية باستخدام تشفير SSL. وهو مصمم في المقام الأول لاستطلاع النظام وتسهيل تسليم الملفات القابلة للتنفيذ الإضافية للأنشطة التي تلي الاستغلال.

عمليات التجسس والاتصالات بمجموعة ألفا

وكشفت التحقيقات اللاحقة عن استخدام نسخة معدلة من برنامج EAGERBEE في حملات تجسس إلكتروني منسوبة إلى جهة تهديد تابعة للدولة الصينية تُعرف باسم Cluster Alpha. وكانت هذه العملية التي أُطلق عليها الاسم الرمزي Crimson Palace تهدف إلى استخراج معلومات استخباراتية سياسية وعسكرية حساسة من وكالة حكومية رفيعة المستوى في جنوب شرق آسيا.

تظهر مجموعة ألفا تداخلات مع مجموعات التجسس الإلكتروني الأخرى، بما في ذلك BackdoorDiplomacy وREF5961 وWorok وTA428. والجدير بالذكر أن BackdoorDiplomacy تشترك في خصائص تكتيكية مع CloudComputating (المعروفة أيضًا باسم Faking Dragon)، وهي كيان ناطق باللغة الصينية مرتبط بإطار عمل للبرامج الضارة المعياري يُعرف باسم QSC. وقد لوحظ هذا الإطار في الهجمات الإلكترونية ضد قطاع الاتصالات في جنوب آسيا.

قدرات التنفيذ في الذاكرة والتخفي

يتبع QSC بنية معيارية حيث يتم تخزين المحمل الأولي فقط على القرص، بينما تظل مكونات النواة والشبكة في الذاكرة. يسمح هذا النهج للمهاجمين بتحميل المكونات الإضافية بناءً على أهدافهم بشكل ديناميكي.

في أحدث عمليات الاختراق التي تعرضت لها EAGERBEE، تقوم مكتبة DLL الخاصة بالحقن بتنفيذ وحدة الباب الخلفي. وبمجرد تنشيطها، تقوم الوحدة الخلفية بجمع تفاصيل النظام ونقلها إلى خادم بعيد عبر مقبس TCP. ولا تزال الطريقة المحددة المستخدمة للحصول على الوصول الأولي في هذه الحوادث غير واضحة.

يستجيب الخادم البعيد بنشر Plugin Orchestrator، الذي يسترد ويُبلغ عن تفاصيل النظام مثل أسماء NetBIOS للمجال وإحصائيات استخدام الذاكرة وإعدادات إعدادات النظام المحلية. كما يجمع البيانات حول العمليات الجارية أثناء انتظار التعليمات الإضافية، بما في ذلك:

  • حقن المكونات الإضافية في الذاكرة
  • إلغاء تحميل مكونات إضافية محددة أو مسح جميع المكونات الإضافية من القائمة
  • التحقق من نشاط البرنامج الإضافي

يقوم كل مكون إضافي بتنفيذ الأوامر من المنظم، ومعالجة إدارة الملفات، والتحكم في العملية، والاتصال عن بعد، والإشراف على خدمة النظام، ومراقبة اتصال الشبكة.

استغلال الثغرات الأمنية والتهديدات المستمرة

تمكن الباحثون من تحديد إصابات EAGERBEE عبر العديد من المؤسسات في شرق آسيا، مع وجود خرقين على الأقل مرتبطين بثغرة ProxyLogon (CVE-2021-26855). في هذه الحالات، قام المهاجمون بنشر قشور ويب لتنفيذ الأوامر على الخوادم المخترقة، مما أدى في النهاية إلى تثبيت الباب الخلفي.

يعمل EAGERBEE في المقام الأول كإطار عمل مقيم في الذاكرة، وهو التصميم الذي يعزز بشكل كبير قدرته على التهرب من الاكتشاف بواسطة أدوات الأمان التقليدية. من خلال حقن التعليمات البرمجية غير الآمنة في العمليات المشروعة، فإنه يخفي أنشطة غلاف الأوامر الخاص به، ويمتزج بسلاسة مع وظائف النظام العادية ويعقد الجهود المبذولة للكشف عن سلوكه وتحليله.

الشائع

الأكثر مشاهدة

جار التحميل...