EAGERBEE Malware
En nyligt opdateret version af EAGERBEE-malwarerammerne er blevet observeret målrettet mod internetudbydere (ISP'er) og statslige organisationer i Mellemøsten.
Denne seneste iteration, også kendt som Thumtais, inkluderer en række komponenter, der gør den i stand til at implementere yderligere nyttelaster, udforske filsystemer og udføre kommandoskaller. Disse forbedringer markerer et betydeligt fremskridt i dets muligheder.
Indholdsfortegnelse
Modulært design og funktionelle kategorier
Bagdøren er afhængig af nøgleplugins, som kan grupperes baseret på deres funktioner: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing og Service Management. Cybersikkerhedsforskere har forbundet EAGERBEE med medium selvtillid til en trusselgruppe kendt som CoughingDown.
Oprindeligt var EAGERBEE forbundet med en statssponsoreret cyberspionagegruppe betegnet REF5961. Selvom denne bagdør er teknisk ligetil, understøtter den både frem- og tilbagekommando-og-kontrolkanaler med SSL-kryptering. Det er primært designet til systemrekognoscering og for at lette leveringen af yderligere eksekverbare filer til aktiviteter efter udnyttelse.
Spionageoperationer og forbindelser til Cluster Alpha
Senere undersøgelser afslørede, at en modificeret version af EAGERBEE blev indsat i cyberspionagekampagner tilskrevet en kinesisk statstilknyttet trusselsaktør kendt som Cluster Alpha. Denne operation med kodenavnet Crimson Palace, havde til formål at udvinde følsom politisk og militær efterretning fra et højt profileret regeringsagentur i Sydøstasien.
Cluster Alpha udstiller overlapninger med andre cyberspionagegrupper, herunder BackdoorDiplomacy , REF5961, Worok og TA428. Især deler BackdoorDiplomacy taktiske karakteristika med CloudComputating (også kaldet Faking Dragon), en kinesisktalende enhed forbundet med en modulær malwareramme kendt som QSC. Denne ramme er blevet observeret i cyberangreb mod telekommunikationssektoren i Sydasien.
In-Memory Execution og Stealth-funktioner
QSC følger en modulær arkitektur, hvor kun den første loader er gemt på disken, mens kerne- og netværkskomponenter forbliver i hukommelsen. Denne tilgang tillader angribere at indlæse plugins baseret på deres mål dynamisk.
I de seneste EAGERBEE-indtrængninger udfører en injektor-DLL bagdørsmodulet. Når den er aktiveret, samler bagdøren systemdetaljer og sender dem til en ekstern server via en TCP-socket. Den specifikke metode, der bruges til at få indledende adgang til disse hændelser, er stadig uklar.
Fjernserveren reagerer ved at implementere Plugin Orchestrator, som henter og rapporterer systemdetaljer såsom domæne NetBIOS-navne, hukommelsesbrugsstatistikker og systemindstillinger. Den indsamler også data om kørende processer, mens den afventer yderligere instruktioner, herunder:
- Injicerer plugins i hukommelsen
- Aflæsning af specifikke plugins eller sletning af alle fra listen
- Bekræftelse af, om et plugin er aktivt
Hvert plugin udfører kommandoer fra orkestratoren, håndterer filhåndtering, proceskontrol, fjernforbindelse, systemtjenesteovervågning og netværksforbindelsesovervågning.
Udnyttelse af sårbarheder og vedvarende trusler
Forskere har identificeret EAGERBEE-infektioner på tværs af flere organisationer i Østasien, med mindst to brud knyttet til ProxyLogon-sårbarheden (CVE-2021-26855). I disse tilfælde implementerede angribere web-shells til at udføre kommandoer på kompromitterede servere, hvilket i sidste ende førte til installationen af bagdøren.
EAGERBEE fungerer primært som en hukommelsesresident ramme, et design, der markant forbedrer dets evne til at undgå registrering med konventionelle sikkerhedsværktøjer. Ved at injicere usikker kode i legitime processer, skjuler den sine kommandoskalaktiviteter, og blander sig problemfrit med normale systemfunktioner og komplicerer indsatsen for at opdage og analysere dens adfærd.
