EAGERBEE Зловреден софтуер
Беше наблюдавана нова актуализирана версия на рамката за злонамерен софтуер EAGERBEE, насочена към доставчици на интернет услуги (ISP) и правителствени организации в Близкия изток.
Тази последна итерация, известна още като Thumtais, включва набор от компоненти, които му позволяват да разгръща допълнителни полезни натоварвания, да изследва файлови системи и да изпълнява командни обвивки. Тези подобрения бележат значителен напредък в неговите възможности.
Съдържание
Модулен дизайн и функционални категории
Задната вратичка разчита на ключови добавки, които могат да бъдат групирани въз основа на техните функции: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing и Service Management. Изследователите на киберсигурността свързват EAGERBEE със средна степен на увереност с група за заплаха, известна като CoughingDown.
Първоначално EAGERBEE беше свързан с държавно спонсорирана група за кибершпионаж, обозначена като REF5961. Тази задна вратичка, макар и технически ясна, поддържа както предни, така и обратни командни и контролни канали с SSL криптиране. Той е предназначен основно за разузнаване на системата и за улесняване на доставката на допълнителни изпълними файлове за дейности след експлоатация.
Шпионски операции и връзки с клъстер Алфа
По-късни разследвания разкриха, че модифицирана версия на EAGERBEE е била внедрена в кампании за кибер шпионаж, приписвани на свързан с китайската държава заплаха, известен като Cluster Alpha. Тази операция с кодово име Crimson Palace имаше за цел да извлече чувствителна политическа и военна разузнавателна информация от високопоставена правителствена агенция в Югоизточна Азия.
Cluster Alpha показва припокриване с други групи за кибершпионаж, включително BackdoorDiplomacy , REF5961, Worok и TA428. По-специално, BackdoorDiplomacy споделя тактически характеристики с CloudComputating (наричан още Faking Dragon), китайско-говорящо образувание, свързано с модулна рамка за зловреден софтуер, известна като QSC. Тази рамка е наблюдавана при кибератаки срещу телекомуникационния сектор в Южна Азия.
Изпълнение в паметта и стелт възможности
QSC следва модулна архитектура, в която само първоначалният товарач се съхранява на диска, докато основните и мрежовите компоненти остават в паметта. Този подход позволява на атакуващите да зареждат плъгини динамично въз основа на техните цели.
При най-новите прониквания на EAGERBEE инжекторна DLL изпълнява задния модул. Веднъж активирана, задната вратичка събира системни подробности и ги предава на отдалечен сървър чрез TCP сокет. Конкретният метод, използван за получаване на първоначален достъп при тези инциденти, остава неясен.
Отдалеченият сървър отговаря чрез внедряване на Plugin Orchestrator, който извлича и отчита системни подробности като имена на NetBIOS на домейни, статистически данни за използването на паметта и настройки за локал на системата. Той също така събира данни за изпълнявани процеси, докато чака допълнителни инструкции, включително:
- Инжектиране на добавки в паметта
- Разтоварване на определени добавки или изчистване на всички от списъка
- Проверка дали плъгинът е активен
Всеки плъгин изпълнява команди от оркестратора, като управлява управление на файлове, контрол на процеси, отдалечено свързване, надзор на системни услуги и наблюдение на мрежовата връзка.
Използване на уязвимости и постоянни заплахи
Изследователите са идентифицирали EAGERBEE инфекции в множество организации в Източна Азия, с най-малко две пробиви, свързани с уязвимостта на ProxyLogon (CVE-2021-26855). В тези случаи нападателите са разположили уеб обвивки, за да изпълняват команди на компрометирани сървъри, което в крайна сметка е довело до инсталирането на задната врата.
EAGERBEE работи предимно като рамка, резидентна в паметта, дизайн, който значително подобрява способността му да избягва откриването от конвенционалните инструменти за сигурност. Чрез инжектиране на опасен код в легитимни процеси, той прикрива дейностите на командната обвивка, безпроблемно се смесва с нормалните системни функции и усложнява усилията за откриване и анализиране на поведението му.