תוכנה זדונית של EAGERBEE
גרסה מעודכנת חדשה של מסגרת התוכנה הזדונית EAGERBEE נצפתה המכוונת לספקי שירותי אינטרנט (ISP) ולארגונים ממשלתיים במזרח התיכון.
האיטרציה האחרונה הזו, הידועה גם בשם Thumtais, כוללת מגוון רכיבים המאפשרים לה לפרוס מטענים נוספים, לחקור מערכות קבצים ולהפעיל מעטפות פקודות. שיפורים אלו מסמנים התקדמות משמעותית ביכולותיה.
תוכן העניינים
עיצוב מודולרי וקטגוריות פונקציונליות
הדלת האחורית מסתמכת על תוספים מרכזיים, אותם ניתן לקבץ על סמך הפונקציות שלהם: תזמורת פלאגין, מניפולציה של מערכת קבצים, מנהל גישה מרחוק, חקר תהליכים, רישום חיבורי רשת וניהול שירותים. חוקרי אבטחת סייבר קישרו את EAGERBEE עם ביטחון בינוני לקבוצת איומים המכונה CoughingDown.
בתחילה, EAGERBEE היה קשור לקבוצת ריגול סייבר בחסות המדינה בשם REF5961. הדלת האחורית הזו, על אף שהיא פשוטה מבחינה טכנית, תומכת בערוצי שליטה ובקרה קדימה והן לאחור עם הצפנת SSL. הוא מיועד בעיקר לסיור מערכת וכדי להקל על אספקת קובצי הפעלה נוספים לפעילויות לאחר ניצול.
פעולות ריגול וחיבורים לאשכול אלפא
חקירות מאוחרות יותר גילו כי גרסה מתוקנת של EAGERBEE נפרסה בקמפיינים של ריגול סייבר שיוחסו לשחקן איום המזוהה עם המדינה הסינית המכונה Cluster Alpha. מבצע זה בשם הקוד ארמון ארגמן, נועד לחלץ מידע פוליטי וצבאי רגיש מסוכנות ממשלתית בעלת פרופיל גבוה בדרום מזרח אסיה.
תערוכות Cluster Alpha חופפות לקבוצות ריגול סייבר אחרות, כולל BackdoorDiplomacy , REF5961, Worok ו-TA428. יש לציין כי BackdoorDiplomacy חולקת מאפיינים טקטיים עם CloudComputating (נקרא גם Faking Dragon), ישות דוברת סינית המקושרת למסגרת תוכנה זדונית מודולרית המכונה QSC. מסגרת זו נצפתה במתקפות סייבר נגד מגזר הטלקום בדרום אסיה.
יכולות ביצוע בזיכרון והתגנבות
QSC עוקב אחר ארכיטקטורה מודולרית שבה רק המטען הראשוני מאוחסן בדיסק, בעוד שרכיבי הליבה והרשת נשארים בזיכרון. גישה זו מאפשרת לתוקפים לטעון תוספים על סמך המטרות שלהם באופן דינמי.
בפריצות EAGERBEE האחרונות, DLL של מזרק מבצע את מודול הדלת האחורית. לאחר ההפעלה, הדלת האחורית אוספת פרטי מערכת ומשדרת אותם לשרת מרוחק באמצעות שקע TCP. השיטה הספציפית ששימשה להשגת גישה ראשונית בתקריות אלו נותרה לא ברורה.
השרת המרוחק מגיב על ידי פריסת Plugin Orchestrator, המאחזר ומדווח על פרטי מערכת כגון שמות NetBIOS של דומיין, סטטיסטיקות שימוש בזיכרון והגדרות מקומיות של המערכת. הוא גם אוסף נתונים על תהליכים פועלים תוך המתנה להנחיות נוספות, כולל:
- הזרקת תוספים לזיכרון
- הורדת תוספים ספציפיים או ניקוי כולם מהרשימה
- אימות אם תוסף פעיל
כל תוסף מבצע פקודות מהמתזמר, מטפל בניהול קבצים, בקרת תהליכים, קישוריות מרחוק, פיקוח על שירות מערכת וניטור חיבור לרשת.
ניצול פגיעויות ואיומים מתמשכים
חוקרים זיהו זיהומים של EAGERBEE במספר ארגונים במזרח אסיה, עם לפחות שתי הפרות הקשורות לפגיעות ProxyLogon (CVE-2021-26855). במקרים אלה, תוקפים פרסו מעטפות אינטרנט כדי לבצע פקודות על שרתים שנפגעו, מה שהוביל בסופו של דבר להתקנת הדלת האחורית.
EAGERBEE פועלת בעיקר כמסגרת תושבת זיכרון, עיצוב שמשפר משמעותית את יכולתה להתחמק מזיהוי על ידי כלי אבטחה קונבנציונליים. על ידי הזרקת קוד לא בטוח לתהליכים לגיטימיים, הוא מסתיר את פעילויות מעטפת הפיקוד שלו, משתלב בצורה חלקה עם פונקציות מערכת רגילות ומסבך את המאמצים לזהות ולנתח את התנהגותו.