EAGERBEE Malware
Byla pozorována nově aktualizovaná verze malwarového rámce EAGERBEE zaměřená na poskytovatele internetových služeb (ISP) a vládní organizace na Středním východě.
Tato nejnovější iterace, známá také jako Thumtais, zahrnuje řadu komponent, které umožňují nasadit další užitečné zatížení, prozkoumat systémy souborů a spouštět příkazové shelly. Tato vylepšení znamenají významný pokrok v jeho schopnostech.
Obsah
Modulární design a funkční kategorie
Zadní vrátka spoléhají na klíčové pluginy, které lze seskupit podle jejich funkcí: Plugin Orchestrator, Manipulace se souborovým systémem, Správce vzdáleného přístupu, Průzkum procesů, Výpis síťových připojení a Správa služeb. Výzkumníci v oblasti kybernetické bezpečnosti spojili EAGERBEE se střední jistotou se skupinou hrozeb známou jako CoughingDown.
Zpočátku byla EAGERBEE spojena se státem podporovanou kyberšpionážní skupinou označenou REF5961. Tato zadní vrátka, i když jsou technicky přímočará, podporují dopředné i zpětné kanály příkazů a řízení se šifrováním SSL. Je primárně navržen pro průzkum systému a pro usnadnění dodání dalších spustitelných souborů pro činnosti po exploataci.
Špionážní operace a připojení ke clusteru Alpha
Pozdější vyšetřování odhalilo, že upravená verze EAGERBEE byla nasazena v kybernetických špionážních kampaních připisovaných čínskému státnímu hrozbě známému jako Cluster Alpha. Tato operace s kódovým označením Crimson Palace měla za cíl získat citlivé politické a vojenské zpravodajské informace z vysoce postavené vládní agentury v jihovýchodní Asii.
Cluster Alpha vykazuje přesahy s jinými skupinami kybernetické špionáže, včetně BackdoorDiplomacy , REF5961, Worok a TA428. BackdoorDiplomacy sdílí taktické vlastnosti s CloudComputating (také nazývaným Faking Dragon), čínsky mluvící entitou propojenou s modulárním malwarovým rámcem známým jako QSC. Tento rámec byl pozorován při kyberútocích proti telekomunikačnímu sektoru v jižní Asii.
Spouštění v paměti a možnosti utajení
QSC sleduje modulární architekturu, ve které je na disku uložen pouze počáteční zavaděč, zatímco jádro a síťové komponenty zůstávají v paměti. Tento přístup umožňuje útočníkům dynamicky načítat pluginy na základě jejich cílů.
U nejnovějších průniků EAGERBEE spustí modul backdoor DLL injektoru. Po aktivaci backdoor shromažďuje podrobnosti o systému a přenáší je na vzdálený server přes TCP soket. Konkrétní metoda použitá k získání počátečního přístupu v těchto incidentech zůstává nejasná.
Vzdálený server reaguje nasazením Plugin Orchestrator, který načítá a hlásí systémové detaily, jako jsou názvy domén NetBIOS, statistiky využití paměti a nastavení národního prostředí systému. Během čekání na další pokyny také shromažďuje data o běžících procesech, včetně:
- Vkládání pluginů do paměti
- Uvolnění konkrétních pluginů nebo vymazání všech ze seznamu
- Ověření, zda je plugin aktivní
Každý plugin spouští příkazy z orchestrátoru, řídí správu souborů, řízení procesů, vzdálené připojení, dohled nad systémovými službami a monitorování síťového připojení.
Zneužívání zranitelností a trvalých hrozeb
Výzkumníci identifikovali infekce EAGERBEE ve více organizacích ve východní Asii, přičemž nejméně dvě porušení byla spojena se zranitelností ProxyLogon (CVE-2021-26855). V těchto případech útočníci nasadili webové shelly k provádění příkazů na kompromitovaných serverech, což nakonec vedlo k instalaci zadních vrátek.
EAGERBEE funguje primárně jako paměťově rezidentní framework, což je návrh, který výrazně zlepšuje jeho schopnost vyhnout se detekci konvenčními bezpečnostními nástroji. Vložením nebezpečného kódu do legitimních procesů skrývá své aktivity příkazového shellu, hladce splyne s normálními funkcemi systému a komplikuje úsilí o detekci a analýzu jeho chování.