EAGERBEE pahavara
Täheldatud on EAGERBEE pahavara raamistiku äsja värskendatud versiooni, mis on suunatud Lähis-Ida Interneti-teenuse pakkujatele (ISP) ja valitsusasutustele.
See uusim iteratsioon, tuntud ka kui Thumtais, sisaldab mitmeid komponente, mis võimaldavad sellel juurutada täiendavaid kasulikke koormusi, uurida failisüsteeme ja käivitada käsukestasid. Need täiustused tähistavad selle võimaluste olulist edasiminekut.
Sisukord
Modulaarne disain ja funktsionaalsed kategooriad
Tagauks tugineb võtmepluginatele, mida saab nende funktsioonide alusel rühmitada: Plugin Orchestrator, failisüsteemi manipuleerimine, kaugjuurdepääsu haldur, protsesside uurimine, võrguühenduste loend ja teenusehaldus. Küberjulgeolekuteadlased on sidunud keskmise usaldusväärsusega EAGERBEE ohurühmaga, mida nimetatakse CoughingDowniks.
Algselt oli EAGERBEE seotud riiklikult toetatud küberspionaažirühmaga, mille nimi oli REF5961. See tagauks, kuigi tehniliselt lihtne, toetab SSL-krüptimisega nii edasi- kui ka tagurpidi käsu- ja juhtimiskanaleid. See on mõeldud peamiselt süsteemiga tutvumiseks ja täiendavate käivitatavate failide edastamise hõlbustamiseks kasutusjärgseteks tegevusteks.
Spionaažioperatsioonid ja ühendused klastri alfaga
Hilisemad uurimised näitasid, et EAGERBEE muudetud versiooni kasutati küberspionaažikampaaniates, mis omistati Hiina riigiga seotud ohutegijale, keda tuntakse Cluster Alpha nime all. Selle operatsiooni koodnimega Crimson Palace eesmärk oli saada Kagu-Aasia kõrgetasemeliselt valitsusasutuselt tundlikku poliitilist ja sõjalist luureandmeid.
Cluster Alpha eksponaadid kattuvad teiste küberspionaažirühmadega, sealhulgas BackdoorDiplomacy , REF5961, Worok ja TA428. Eelkõige jagab BackdoorDiplomacy taktikalisi omadusi CloudComputatingiga (nimetatakse ka Faking Dragoniks), mis on hiina keelt kõnelev üksus, mis on seotud QSC-na tuntud modulaarse pahavara raamistikuga. Seda raamistikku on täheldatud Lõuna-Aasia telekommunikatsioonisektori vastu suunatud küberrünnakutes.
Mälusisese täitmise ja varjamise võimalused
QSC järgib modulaarset arhitektuuri, milles kettale salvestatakse ainult esialgne laadija, samas kui põhi- ja võrgukomponendid jäävad mällu. See lähenemisviis võimaldab ründajatel oma eesmärkidest lähtuvaid pistikprogramme dünaamiliselt laadida.
Viimaste EAGERBEE sissetungide puhul käivitab injektor DLL tagaukse mooduli. Pärast aktiveerimist kogub tagauks süsteemi üksikasjad ja edastab need TCP-pesa kaudu kaugserverisse. Konkreetne meetod, mida nende juhtumite puhul esialgse juurdepääsu saamiseks kasutati, jääb ebaselgeks.
Kaugserver vastab sellele, juurutades Plugin Orchestratori, mis hangib ja edastab süsteemi üksikasjad, nagu domeeni NetBIOS-i nimed, mälukasutuse statistika ja süsteemi lokaadi sätted. Samuti kogub see andmeid töötavate protsesside kohta, oodates täiendavaid juhiseid, sealhulgas:
- Pluginate sisestamine mällu
- Teatud pistikprogrammide mahalaadimine või kõigi loendist kustutamine
- Kontrollige, kas pistikprogramm on aktiivne
Iga pistikprogramm täidab orkestraatori käske, haldades failihaldust, protsessijuhtimist, kaugühenduvust, süsteemiteenuste järelevalvet ja võrguühenduse jälgimist.
Turvaaukude ja püsivate ohtude ärakasutamine
Teadlased on tuvastanud EAGERBEE nakkused mitmes Ida-Aasia organisatsioonis, kusjuures vähemalt kaks rikkumist on seotud ProxyLogoni haavatavusega (CVE-2021-26855). Nendel juhtudel kasutasid ründajad ohustatud serverites käskude täitmiseks veebikestasid, mis lõpuks viis tagaukse installimiseni.
EAGERBEE toimib peamiselt mälupõhise raamistikuna, mis suurendab oluliselt selle võimet tavapäraste turbevahenditega tuvastamisest kõrvale hoida. Ebaturvalist koodi legitiimsetesse protsessidesse sisestades varjab see oma käsukesta tegevusi, sulandudes sujuvalt tavaliste süsteemifunktsioonidega ja raskendades jõupingutusi oma käitumise tuvastamiseks ja analüüsimiseks.