Κακόβουλο λογισμικό EAGERBEE
Έχει παρατηρηθεί μια πρόσφατα ενημερωμένη έκδοση του πλαισίου κακόβουλου λογισμικού EAGERBEE που στοχεύει Παρόχους Υπηρεσιών Διαδικτύου (ISP) και κυβερνητικούς οργανισμούς στη Μέση Ανατολή.
Αυτή η τελευταία επανάληψη, γνωστή και ως Thumtais, περιλαμβάνει μια σειρά στοιχείων που της επιτρέπουν να αναπτύσσει πρόσθετα ωφέλιμα φορτία, να εξερευνά συστήματα αρχείων και να εκτελεί κελύφη εντολών. Αυτές οι βελτιώσεις σηματοδοτούν μια σημαντική πρόοδο στις δυνατότητές του.
Πίνακας περιεχομένων
Modular Design και Λειτουργικές Κατηγορίες
Το backdoor βασίζεται σε βασικά πρόσθετα, τα οποία μπορούν να ομαδοποιηθούν με βάση τις λειτουργίες τους: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing και Service Management. Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν συνδέσει το EAGERBEE με μέτρια εμπιστοσύνη με μια ομάδα απειλών γνωστή ως CoughingDown.
Αρχικά, η EAGERBEE συνδέθηκε με μια κρατική ομάδα κυβερνοκατασκοπείας που ονομάστηκε REF5961. Αυτή η κερκόπορτα, αν και τεχνικά απλή, υποστηρίζει κανάλια εντολών και ελέγχου προς τα εμπρός και προς τα πίσω με κρυπτογράφηση SSL. Έχει σχεδιαστεί κυρίως για αναγνώριση συστήματος και για να διευκολύνει την παράδοση πρόσθετων εκτελέσιμων για δραστηριότητες μετά την εκμετάλλευση.
Επιχειρήσεις Κατασκοπείας και Συνδέσεις στο Cluster Alpha
Μεταγενέστερες έρευνες αποκάλυψαν ότι μια τροποποιημένη έκδοση του EAGERBEE αναπτύχθηκε σε εκστρατείες κατασκοπείας στον κυβερνοχώρο που αποδίδονται σε έναν κινεζικό κρατικό παράγοντα απειλών γνωστό ως Cluster Alpha. Αυτή η επιχείρηση με την κωδική ονομασία Crimson Palace, είχε σκοπό να εξάγει ευαίσθητες πολιτικές και στρατιωτικές πληροφορίες από μια υψηλού προφίλ κυβερνητική υπηρεσία στη Νοτιοανατολική Ασία.
Το Cluster Alpha παρουσιάζει επικαλύψεις με άλλες ομάδες κυβερνοκατασκοπείας, συμπεριλαμβανομένων των BackdoorDiplomacy , REF5961, Worok και TA428. Συγκεκριμένα, το BackdoorDiplomacy μοιράζεται τακτικά χαρακτηριστικά με το CloudComputating (ονομάζεται επίσης Faking Dragon), μια κινεζόφωνη οντότητα που συνδέεται με ένα αρθρωτό πλαίσιο κακόβουλου λογισμικού γνωστό ως QSC. Αυτό το πλαίσιο έχει παρατηρηθεί σε κυβερνοεπιθέσεις κατά του τομέα των τηλεπικοινωνιών στη Νότια Ασία.
Εκτέλεση στη μνήμη και δυνατότητες μυστικότητας
Το QSC ακολουθεί μια αρθρωτή αρχιτεκτονική στην οποία μόνο ο αρχικός φορτωτής αποθηκεύεται στο δίσκο, ενώ τα στοιχεία πυρήνα και δικτύου παραμένουν στη μνήμη. Αυτή η προσέγγιση επιτρέπει στους εισβολείς να φορτώνουν δυναμικά πρόσθετα με βάση τους στόχους τους.
Στις πιο πρόσφατες εισβολές EAGERBEE, ένας εγχυτήρας DLL εκτελεί τη λειτουργική μονάδα backdoor. Μόλις ενεργοποιηθεί, η κερκόπορτα συγκεντρώνει λεπτομέρειες συστήματος και τις μεταδίδει σε έναν απομακρυσμένο διακομιστή μέσω μιας υποδοχής TCP. Η συγκεκριμένη μέθοδος που χρησιμοποιείται για την απόκτηση αρχικής πρόσβασης σε αυτά τα περιστατικά παραμένει ασαφής.
Ο απομακρυσμένος διακομιστής ανταποκρίνεται αναπτύσσοντας το Plugin Orchestrator, το οποίο ανακτά και αναφέρει λεπτομέρειες συστήματος, όπως ονόματα τομέα NetBIOS, στατιστικά στοιχεία χρήσης μνήμης και ρυθμίσεις τοπικών ρυθμίσεων συστήματος. Συλλέγει επίσης δεδομένα σχετικά με τις διεργασίες που εκτελούνται εν αναμονή περαιτέρω οδηγιών, όπως:
- Εισαγωγή πρόσθετων στη μνήμη
- Ξεφόρτωση συγκεκριμένων προσθηκών ή διαγραφή όλων από τη λίστα
- Επαλήθευση εάν μια προσθήκη είναι ενεργή
Κάθε πρόσθετο εκτελεί εντολές από τον ενορχηστρωτή, διαχείριση αρχείων, έλεγχο διεργασιών, απομακρυσμένη συνδεσιμότητα, επίβλεψη υπηρεσιών συστήματος και παρακολούθηση σύνδεσης δικτύου.
Εκμετάλλευση τρωτών σημείων και επίμονων απειλών
Οι ερευνητές έχουν εντοπίσει μολύνσεις EAGERBEE σε πολλούς οργανισμούς στην Ανατολική Ασία, με τουλάχιστον δύο παραβιάσεις που συνδέονται με την ευπάθεια ProxyLogon (CVE-2021-26855). Σε αυτές τις περιπτώσεις, οι εισβολείς ανέπτυξαν κελύφη Ιστού για να εκτελέσουν εντολές σε διακομιστές που είχαν παραβιαστεί, οδηγώντας τελικά στην εγκατάσταση της κερκόπορτας.
Το EAGERBEE λειτουργεί πρωτίστως ως πλαίσιο που εδρεύει στη μνήμη, ένα σχέδιο που ενισχύει σημαντικά την ικανότητά του να αποφεύγει τον εντοπισμό από συμβατικά εργαλεία ασφαλείας. Με την εισαγωγή μη ασφαλούς κώδικα σε νόμιμες διαδικασίες, αποκρύπτει τις δραστηριότητές του στο κέλυφος εντολών, συνδυάζοντας απρόσκοπτα τις κανονικές λειτουργίες του συστήματος και περιπλέκοντας τις προσπάθειες εντοπισμού και ανάλυσης της συμπεριφοράς του.
