بدافزار EAGERBEE
یک نسخه جدید به روز شده از چارچوب بدافزار EAGERBEE مشاهده شده است که ارائه دهندگان خدمات اینترنت (ISP) و سازمان های دولتی در خاورمیانه را هدف قرار می دهد.
این آخرین تکرار، که به عنوان Thumtais نیز شناخته میشود، شامل مجموعهای از مؤلفهها است که آن را قادر میسازد تا بارهای اضافی را مستقر کند، سیستمهای فایل را کاوش کند و پوستههای فرمان را اجرا کند. این پیشرفت ها نشان دهنده پیشرفت قابل توجهی در قابلیت های آن است.
فهرست مطالب
طراحی مدولار و دسته بندی های کاربردی
درپشتی متکی به پلاگین های کلیدی است که می توانند بر اساس عملکردشان گروه بندی شوند: Plugin Orchestrator، File System Manipulation، Remote Access Manager، Process Exploration، Listing Connection Network and Service Management. محققان امنیت سایبری EAGERBEE را با اعتماد متوسط به یک گروه تهدید به نام CoughingDown مرتبط کرده اند.
در ابتدا، EAGERBEE با یک گروه جاسوسی سایبری تحت حمایت دولت به نام REF5961 مرتبط بود. این درب پشتی، اگرچه از نظر فنی ساده است، اما از کانال های فرمان و کنترل جلو و عقب با رمزگذاری SSL پشتیبانی می کند. اساساً برای شناسایی سیستم و تسهیل تحویل فایل های اجرایی اضافی برای فعالیت های پس از بهره برداری طراحی شده است.
عملیات جاسوسی و اتصالات به خوشه آلفا
تحقیقات بعدی نشان داد که یک نسخه اصلاح شده از EAGERBEE در کمپین های جاسوسی سایبری منتسب به یک عامل تهدید وابسته به دولت چین به نام Cluster Alpha استفاده شده است. این عملیات با اسم رمز قصر زرشکی، با هدف استخراج اطلاعات حساس سیاسی و نظامی از یک سازمان دولتی بلندپایه در جنوب شرقی آسیا انجام شد.
Cluster Alpha با دیگر گروههای جاسوسی سایبری، از جمله BackdoorDiplomacy ، REF5961، Worok و TA428 همپوشانی دارد. قابل ذکر است، BackdoorDiplomacy ویژگیهای تاکتیکی را با CloudComputating (که به آن Faking Dragon نیز میگویند)، موجودیتی به زبان چینی که به یک چارچوب بدافزار مدولار معروف به QSC مرتبط است، به اشتراک میگذارد. این چارچوب در حملات سایبری علیه بخش مخابرات در جنوب آسیا مشاهده شده است.
قابلیت های اجرا در حافظه و مخفی کاری
QSC از یک معماری ماژولار پیروی می کند که در آن فقط لودر اولیه روی دیسک ذخیره می شود، در حالی که اجزای هسته و شبکه در حافظه باقی می مانند. این رویکرد به مهاجمان اجازه می دهد تا افزونه ها را بر اساس اهداف خود به صورت پویا بارگذاری کنند.
در جدیدترین نفوذهای EAGERBEE، یک DLL انژکتوری ماژول درب پشتی را اجرا می کند. پس از فعال شدن، درب پشتی جزئیات سیستم را جمع آوری می کند و آنها را از طریق یک سوکت TCP به یک سرور راه دور منتقل می کند. روش خاص مورد استفاده برای دستیابی به دسترسی اولیه در این حوادث نامشخص است.
سرور راه دور با استقرار Plugin Orchestrator پاسخ می دهد، که جزئیات سیستم مانند نام دامنه NetBIOS، آمار مصرف حافظه و تنظیمات محلی سیستم را بازیابی و گزارش می کند. همچنین دادههای مربوط به فرآیندهای در حال اجرا را در حالی که منتظر دستورالعملهای بیشتر است، از جمله:
- تزریق پلاگین به حافظه
- بارگیری افزونه های خاص یا پاک کردن همه از لیست
- بررسی فعال بودن افزونه
هر افزونه دستورات را از ارکستراتور، مدیریت فایل، کنترل فرآیند، اتصال از راه دور، نظارت بر سرویس سیستم و نظارت بر اتصال شبکه اجرا می کند.
بهره برداری از آسیب پذیری ها و تهدیدهای مداوم
محققان عفونت EAGERBEE را در چندین سازمان در شرق آسیا شناسایی کردهاند که حداقل دو مورد از نقضهای مربوط به آسیبپذیری ProxyLogon (CVE-2021-26855) است. در این موارد، مهاجمان پوسته های وب را برای اجرای دستورات بر روی سرورهای در معرض خطر مستقر کردند که در نهایت منجر به نصب درب پشتی شد.
EAGERBEE عمدتاً به عنوان یک چارچوب مقیم حافظه عمل می کند، طراحی که به طور قابل توجهی توانایی آن را برای فرار از تشخیص توسط ابزارهای امنیتی معمولی افزایش می دهد. با تزریق کد ناامن به فرآیندهای قانونی، فعالیتهای پوسته فرمان خود را پنهان میکند، به طور یکپارچه با عملکردهای عادی سیستم ترکیب میشود و تلاشها برای شناسایی و تحلیل رفتار آن را پیچیده میکند.