بدافزار EAGERBEE

یک نسخه جدید به روز شده از چارچوب بدافزار EAGERBEE مشاهده شده است که ارائه دهندگان خدمات اینترنت (ISP) و سازمان های دولتی در خاورمیانه را هدف قرار می دهد.

این آخرین تکرار، که به عنوان Thumtais نیز شناخته می‌شود، شامل مجموعه‌ای از مؤلفه‌ها است که آن را قادر می‌سازد تا بارهای اضافی را مستقر کند، سیستم‌های فایل را کاوش کند و پوسته‌های فرمان را اجرا کند. این پیشرفت ها نشان دهنده پیشرفت قابل توجهی در قابلیت های آن است.

طراحی مدولار و دسته بندی های کاربردی

درپشتی متکی به پلاگین های کلیدی است که می توانند بر اساس عملکردشان گروه بندی شوند: Plugin Orchestrator، File System Manipulation، Remote Access Manager، Process Exploration، Listing Connection Network and Service Management. محققان امنیت سایبری EAGERBEE را با اعتماد متوسط به یک گروه تهدید به نام CoughingDown مرتبط کرده اند.

در ابتدا، EAGERBEE با یک گروه جاسوسی سایبری تحت حمایت دولت به نام REF5961 مرتبط بود. این درب پشتی، اگرچه از نظر فنی ساده است، اما از کانال های فرمان و کنترل جلو و عقب با رمزگذاری SSL پشتیبانی می کند. اساساً برای شناسایی سیستم و تسهیل تحویل فایل های اجرایی اضافی برای فعالیت های پس از بهره برداری طراحی شده است.

عملیات جاسوسی و اتصالات به خوشه آلفا

تحقیقات بعدی نشان داد که یک نسخه اصلاح شده از EAGERBEE در کمپین های جاسوسی سایبری منتسب به یک عامل تهدید وابسته به دولت چین به نام Cluster Alpha استفاده شده است. این عملیات با اسم رمز قصر زرشکی، با هدف استخراج اطلاعات حساس سیاسی و نظامی از یک سازمان دولتی بلندپایه در جنوب شرقی آسیا انجام شد.

Cluster Alpha با دیگر گروه‌های جاسوسی سایبری، از جمله BackdoorDiplomacy ، REF5961، Worok و TA428 همپوشانی دارد. قابل ذکر است، BackdoorDiplomacy ویژگی‌های تاکتیکی را با CloudComputating (که به آن Faking Dragon نیز می‌گویند)، موجودیتی به زبان چینی که به یک چارچوب بدافزار مدولار معروف به QSC مرتبط است، به اشتراک می‌گذارد. این چارچوب در حملات سایبری علیه بخش مخابرات در جنوب آسیا مشاهده شده است.

قابلیت های اجرا در حافظه و مخفی کاری

QSC از یک معماری ماژولار پیروی می کند که در آن فقط لودر اولیه روی دیسک ذخیره می شود، در حالی که اجزای هسته و شبکه در حافظه باقی می مانند. این رویکرد به مهاجمان اجازه می دهد تا افزونه ها را بر اساس اهداف خود به صورت پویا بارگذاری کنند.

در جدیدترین نفوذهای EAGERBEE، یک DLL انژکتوری ماژول درب پشتی را اجرا می کند. پس از فعال شدن، درب پشتی جزئیات سیستم را جمع آوری می کند و آنها را از طریق یک سوکت TCP به یک سرور راه دور منتقل می کند. روش خاص مورد استفاده برای دستیابی به دسترسی اولیه در این حوادث نامشخص است.

سرور راه دور با استقرار Plugin Orchestrator پاسخ می دهد، که جزئیات سیستم مانند نام دامنه NetBIOS، آمار مصرف حافظه و تنظیمات محلی سیستم را بازیابی و گزارش می کند. همچنین داده‌های مربوط به فرآیندهای در حال اجرا را در حالی که منتظر دستورالعمل‌های بیشتر است، از جمله:

  • تزریق پلاگین به حافظه
  • بارگیری افزونه های خاص یا پاک کردن همه از لیست
  • بررسی فعال بودن افزونه

هر افزونه دستورات را از ارکستراتور، مدیریت فایل، کنترل فرآیند، اتصال از راه دور، نظارت بر سرویس سیستم و نظارت بر اتصال شبکه اجرا می کند.

بهره برداری از آسیب پذیری ها و تهدیدهای مداوم

محققان عفونت EAGERBEE را در چندین سازمان در شرق آسیا شناسایی کرده‌اند که حداقل دو مورد از نقض‌های مربوط به آسیب‌پذیری ProxyLogon (CVE-2021-26855) است. در این موارد، مهاجمان پوسته های وب را برای اجرای دستورات بر روی سرورهای در معرض خطر مستقر کردند که در نهایت منجر به نصب درب پشتی شد.

EAGERBEE عمدتاً به عنوان یک چارچوب مقیم حافظه عمل می کند، طراحی که به طور قابل توجهی توانایی آن را برای فرار از تشخیص توسط ابزارهای امنیتی معمولی افزایش می دهد. با تزریق کد ناامن به فرآیندهای قانونی، فعالیت‌های پوسته فرمان خود را پنهان می‌کند، به طور یکپارچه با عملکردهای عادی سیستم ترکیب می‌شود و تلاش‌ها برای شناسایی و تحلیل رفتار آن را پیچیده می‌کند.

پرطرفدار

پربیننده ترین

بارگذاری...