Base de dades d'amenaces Programari maliciós Programari maliciós EAGERBEE

Programari maliciós EAGERBEE

S'ha observat una versió recentment actualitzada del marc de programari maliciós EAGERBEE dirigida a proveïdors de serveis d'Internet (ISP) i organitzacions governamentals a l'Orient Mitjà.

Aquesta darrera iteració, també coneguda com Thumtais, inclou una sèrie de components que li permeten desplegar càrregues útils addicionals, explorar sistemes de fitxers i executar intèrprets d'ordres. Aquestes millores marquen un avenç significatiu en les seves capacitats.

Disseny Modular i Categories Funcionals

La porta posterior es basa en connectors clau, que es poden agrupar en funció de les seves funcions: Orquestrador de connectors, Manipulació del sistema de fitxers, Gestor d'accés remot, Exploració de processos, Llistat de connexions de xarxa i Gestió de serveis. Els investigadors de ciberseguretat han vinculat EAGERBEE amb una confiança mitjana a un grup d'amenaces conegut com CoughingDown.

Inicialment, EAGERBEE es va associar amb un grup de ciberespionatge patrocinat per l'estat designat REF5961. Aquesta porta del darrere, tot i que tècnicament senzilla, admet canals de comandament i control tant directes com inversos amb xifratge SSL. Està dissenyat principalment per al reconeixement del sistema i per facilitar el lliurament d'executables addicionals per a activitats posteriors a l'explotació.

Operacions d'espionatge i connexions amb el clúster Alpha

Investigacions posteriors van revelar que es va desplegar una versió modificada d'EAGERBEE en campanyes d'espionatge cibernètic atribuïdes a un actor d'amenaces afiliat a l'estat xinès conegut com a Cluster Alpha. Aquesta operació, amb el nom en clau de Crimson Palace, tenia com a objectiu extreure intel·ligència política i militar sensible d'una agència governamental d'alt perfil del sud-est asiàtic.

Cluster Alpha mostra superposicions amb altres grups de ciberespionatge, com ara BackdoorDiplomacy , REF5961, Worok i TA428. En particular, BackdoorDiplomacy comparteix característiques tàctiques amb CloudComputing (també anomenada Faking Dragon), una entitat de parla xinesa vinculada a un marc de programari maliciós modular conegut com QSC. Aquest marc s'ha observat en ciberatacs contra el sector de les telecomunicacions al sud d'Àsia.

Funcions d'execució en memòria i sigils

QSC segueix una arquitectura modular en què només s'emmagatzema el carregador inicial al disc, mentre que els components bàsics i de xarxa romanen a la memòria. Aquest enfocament permet als atacants carregar connectors en funció dels seus objectius de forma dinàmica.

A les intrusions EAGERBEE més recents, una DLL d'injecció executa el mòdul de la porta posterior. Un cop activada, la porta posterior recopila els detalls del sistema i els transmet a un servidor remot mitjançant un sòcol TCP. El mètode específic utilitzat per obtenir l'accés inicial en aquests incidents encara no està clar.

El servidor remot respon desplegant el Plugin Orchestrator, que recupera i informa els detalls del sistema, com ara els noms de domini NetBIOS, les estadístiques d'ús de la memòria i la configuració regional del sistema. També recopila dades sobre processos en execució mentre s'espera més instruccions, com ara:

  • Injectar connectors a la memòria
  • Descàrrega de connectors específics o esborrant-los tots de la llista
  • Verificant si un connector està actiu

Cada connector executa ordres de l'orquestrador, gestionant la gestió de fitxers, el control de processos, la connectivitat remota, la supervisió del servei del sistema i la supervisió de la connexió a la xarxa.

Explotació de vulnerabilitats i amenaces persistents

Els investigadors han identificat infeccions per EAGERBEE a diverses organitzacions de l'Àsia oriental, amb almenys dues infraccions relacionades amb la vulnerabilitat ProxyLogon (CVE-2021-26855). En aquests casos, els atacants van desplegar intèrprets d'ordres web per executar ordres en servidors compromesos, la qual cosa va provocar, finalment, la instal·lació de la porta posterior.

EAGERBEE funciona principalment com un marc resident a la memòria, un disseny que millora significativament la seva capacitat d'evadir la detecció de les eines de seguretat convencionals. En injectar codi no segur en processos legítims, oculta les seves activitats de l'intèrpret d'ordres, combinant-se perfectament amb les funcions normals del sistema i complicant els esforços per detectar i analitzar el seu comportament.

Tendència

Més vist

Carregant...