EAGERBEE haittaohjelma
Äskettäin päivitetty versio EAGERBEE-haittaohjelmakehyksestä on havaittu kohdistuvan Internet-palveluntarjoajiin (ISP) ja valtion organisaatioihin Lähi-idässä.
Tämä uusin iteraatio, joka tunnetaan myös nimellä Thumtais, sisältää joukon komponentteja, joiden avulla se voi ottaa käyttöön lisähyötykuormia, tutkia tiedostojärjestelmiä ja suorittaa komentokangot. Nämä parannukset merkitsevät merkittävää edistystä sen ominaisuuksissa.
Sisällysluettelo
Modulaarinen suunnittelu ja toiminnalliset luokat
Takaovi perustuu avainlaajennuksiin, jotka voidaan ryhmitellä toimintojensa mukaan: Plugin Orchestrator, tiedostojärjestelmän manipulointi, etäkäytön hallinta, prosessien tutkiminen, verkkoyhteysluettelo ja palvelunhallinta. Kyberturvallisuustutkijat ovat yhdistäneet EAGERBEEn keskitasoisella luotettavuudella uhkaryhmään, joka tunnetaan nimellä CoughingDown.
Aluksi EAGERBEE liitettiin valtion tukemaan kybervakoiluryhmään nimeltä REF5961. Tämä takaovi, vaikka se on teknisesti yksinkertainen, tukee sekä eteenpäin että taaksepäin suunnattuja komento- ja ohjauskanavia SSL-salauksella. Se on ensisijaisesti suunniteltu järjestelmän tutkimiseen ja helpottamaan ylimääräisten suoritettavien tiedostojen toimittamista hyödyntämisen jälkeisiä toimintoja varten.
Vakoilutoiminnot ja yhteydet Cluster Alphaan
Myöhemmät tutkimukset paljastivat, että EAGERBEE:n muunneltu versio käytettiin kybervakoilukampanjoissa, joiden syynä oli Kiinan valtion sidoksissa oleva uhkatoimija nimeltä Cluster Alpha. Tämän koodinimen Crimson Palace -operaation tarkoituksena oli poimia arkaluonteisia poliittisia ja sotilaallisia tiedustelutietoja korkean profiilin valtion virastolta Kaakkois-Aasiassa.
Cluster Alpha on päällekkäinen muiden kybervakoiluryhmien kanssa, mukaan lukien BackdoorDiplomacy , REF5961, Worok ja TA428. Varsinkin BackdoorDiplomacy jakaa taktiset ominaisuudet CloudComputatingin (kutsutaan myös Faking Dragoniksi), kiinankieliseen kokonaisuuteen, joka on yhdistetty modulaariseen haittaohjelmakehykseen, joka tunnetaan nimellä QSC. Tämä viitekehys on havaittu Etelä-Aasian tietoliikennesektoria vastaan tehdyissä kyberhyökkäyksissä.
Muistissa suoritettavat ja varkain ominaisuudet
QSC noudattaa modulaarista arkkitehtuuria, jossa vain alkuperäinen latausohjelma tallennetaan levylle, kun taas ydin- ja verkkokomponentit säilyvät muistissa. Tämän lähestymistavan avulla hyökkääjät voivat ladata laajennuksia tavoitteidensa perusteella dynaamisesti.
Viimeisimmissä EAGERBEE-tunkeutumisissa injektori-DLL suorittaa takaovimoduulin. Kun takaovi on aktivoitu, se kerää järjestelmätiedot ja lähettää ne etäpalvelimelle TCP-pistokkeen kautta. Tarkka menetelmä, jota käytetään näiden tapausten alkupääsyn saamiseksi, on edelleen epäselvä.
Etäpalvelin vastaa ottamalla käyttöön Plugin Orchestratorin, joka hakee ja raportoi järjestelmätiedot, kuten toimialueen NetBIOS-nimet, muistin käyttötilastot ja järjestelmän alueasetukset. Se kerää myös tietoja käynnissä olevista prosesseista odottaessaan lisäohjeita, mukaan lukien:
- Lisäosien lisääminen muistiin
- Tiettyjen lisäosien purkaminen tai kaikkien tyhjentäminen luettelosta
- Tarkistetaan, onko laajennus aktiivinen
Jokainen laajennus suorittaa orkesterin komentoja, jotka käsittelevät tiedostojen hallintaa, prosessinhallintaa, etäyhteyttä, järjestelmäpalvelun valvontaa ja verkkoyhteyden valvontaa.
Haavoittuvuuksien ja jatkuvien uhkien hyödyntäminen
Tutkijat ovat havainneet EAGERBEE-infektioita useissa organisaatioissa Itä-Aasiassa, ja vähintään kaksi rikkomusta liittyy ProxyLogon-haavoittuvuuteen (CVE-2021-26855). Näissä tapauksissa hyökkääjät käyttivät web-komentotulkoja suorittaakseen komentoja vaarantuneissa palvelimissa, mikä johti lopulta takaoven asennukseen.
EAGERBEE toimii ensisijaisesti muistiin perustuvana kehyksenä, joka parantaa merkittävästi sen kykyä välttää havaitseminen perinteisillä suojaustyökaluilla. Ruiskuttamalla turvatonta koodia laillisiin prosesseihin, se piilottaa komentotulkkitoimintansa, sulautuu saumattomasti normaaleihin järjestelmän toimintoihin ja vaikeuttaa pyrkimyksiä havaita ja analysoida sen käyttäytymistä.