EAGERBEE मैलवेयर
EAGERBEE मैलवेयर फ्रेमवर्क का एक नया अद्यतन संस्करण मध्य पूर्व में इंटरनेट सेवा प्रदाताओं (ISPs) और सरकारी संगठनों को लक्ष्य करते हुए देखा गया है।
इस नवीनतम संस्करण को थमटैस के नाम से भी जाना जाता है, इसमें कई घटक शामिल हैं जो इसे अतिरिक्त पेलोड तैनात करने, फ़ाइल सिस्टम का पता लगाने और कमांड शेल निष्पादित करने में सक्षम बनाते हैं। ये संवर्द्धन इसकी क्षमताओं में एक महत्वपूर्ण उन्नति को दर्शाते हैं।
विषयसूची
मॉड्यूलर डिजाइन और कार्यात्मक श्रेणियाँ
बैकडोर मुख्य प्लगइन्स पर निर्भर करता है, जिन्हें उनके कार्यों के आधार पर समूहीकृत किया जा सकता है: प्लगइन ऑर्केस्ट्रेटर, फ़ाइल सिस्टम मैनिपुलेशन, रिमोट एक्सेस मैनेजर, प्रोसेस एक्सप्लोरेशन, नेटवर्क कनेक्शन लिस्टिंग और सर्विस मैनेजमेंट। साइबर सुरक्षा शोधकर्ताओं ने EAGERBEE को CoughingDown नामक खतरे वाले समूह से मध्यम विश्वास के साथ जोड़ा है।
शुरुआत में, EAGERBEE एक राज्य प्रायोजित साइबर जासूसी समूह से जुड़ा था जिसे REF5961 नाम दिया गया था। यह बैकडोर, हालांकि तकनीकी रूप से सरल है, SSL एन्क्रिप्शन के साथ फॉरवर्ड और रिवर्स कमांड-एंड-कंट्रोल दोनों चैनलों का समर्थन करता है। इसे मुख्य रूप से सिस्टम की टोह लेने और शोषण के बाद की गतिविधियों के लिए अतिरिक्त निष्पादन योग्य वस्तुओं की डिलीवरी को सुविधाजनक बनाने के लिए डिज़ाइन किया गया है।
जासूसी ऑपरेशन और क्लस्टर अल्फा से कनेक्शन
बाद में जांच से पता चला कि EAGERBEE के संशोधित संस्करण को साइबर जासूसी अभियानों में इस्तेमाल किया गया था, जिसका श्रेय क्लस्टर अल्फा नामक चीनी राज्य से जुड़े खतरे वाले अभिनेता को दिया जाता है। क्रिमसन पैलेस नामक इस ऑपरेशन का उद्देश्य दक्षिण-पूर्व एशिया की एक हाई-प्रोफाइल सरकारी एजेंसी से संवेदनशील राजनीतिक और सैन्य खुफिया जानकारी प्राप्त करना था।
क्लस्टर अल्फा अन्य साइबर जासूसी समूहों के साथ ओवरलैप प्रदर्शित करता है, जिसमें बैकडोरडिप्लोमेसी , आरईएफ5961, वोरोक और टीए428 शामिल हैं। उल्लेखनीय रूप से, बैकडोरडिप्लोमेसी क्लाउडकंप्यूटिंग (जिसे फ़ेकिंग ड्रैगन भी कहा जाता है) के साथ सामरिक विशेषताओं को साझा करता है, जो एक चीनी भाषी इकाई है जो क्यूएससी नामक मॉड्यूलर मैलवेयर फ्रेमवर्क से जुड़ी है। इस फ्रेमवर्क को दक्षिण एशिया में दूरसंचार क्षेत्र के खिलाफ साइबर हमलों में देखा गया है।
इन-मेमोरी निष्पादन और स्टेल्थ क्षमताएं
QSC एक मॉड्यूलर आर्किटेक्चर का अनुसरण करता है जिसमें केवल प्रारंभिक लोडर डिस्क पर संग्रहीत होता है, जबकि कोर और नेटवर्क घटक मेमोरी में रहते हैं। यह दृष्टिकोण हमलावरों को उनके उद्देश्यों के आधार पर प्लगइन्स को गतिशील रूप से लोड करने की अनुमति देता है।
सबसे हाल ही में EAGERBEE घुसपैठ में, एक इंजेक्टर DLL बैकडोर मॉड्यूल को निष्पादित करता है। एक बार सक्रिय होने के बाद, बैकडोर सिस्टम विवरण एकत्र करता है और उन्हें TCP सॉकेट के माध्यम से दूरस्थ सर्वर पर भेजता है। इन घटनाओं में प्रारंभिक पहुँच प्राप्त करने के लिए उपयोग की जाने वाली विशिष्ट विधि अभी भी अस्पष्ट है।
रिमोट सर्वर प्लगइन ऑर्केस्ट्रेटर को तैनात करके प्रतिक्रिया करता है, जो डोमेन नेटबीओएस नाम, मेमोरी उपयोग सांख्यिकी और सिस्टम लोकेल सेटिंग्स जैसे सिस्टम विवरण को पुनर्प्राप्त और रिपोर्ट करता है। यह आगे के निर्देशों की प्रतीक्षा करते समय चल रही प्रक्रियाओं पर डेटा भी एकत्र करता है, जिसमें शामिल हैं:
- मेमोरी में प्लगइन्स डालना
- विशिष्ट प्लगइन्स को अनलोड करना या सूची से सभी को हटाना
- यह सत्यापित करना कि प्लगइन सक्रिय है या नहीं
प्रत्येक प्लगइन ऑर्केस्ट्रेटर से प्राप्त आदेशों को निष्पादित करता है, तथा फ़ाइल प्रबंधन, प्रक्रिया नियंत्रण, दूरस्थ कनेक्टिविटी, सिस्टम सेवा निरीक्षण और नेटवर्क कनेक्शन मॉनिटरिंग का कार्य संभालता है।
कमजोरियों और लगातार खतरों का फायदा उठाना
शोधकर्ताओं ने पूर्वी एशिया के कई संगठनों में EAGERBEE संक्रमण की पहचान की है, जिसमें कम से कम दो उल्लंघन प्रॉक्सीलॉगन भेद्यता (CVE-2021-26855) से जुड़े हैं। इन मामलों में, हमलावरों ने समझौता किए गए सर्वर पर कमांड निष्पादित करने के लिए वेब शेल तैनात किए, जिससे अंततः बैकडोर की स्थापना हुई।
EAGERBEE मुख्य रूप से मेमोरी-रेजिडेंट फ्रेमवर्क के रूप में काम करता है, एक ऐसा डिज़ाइन जो पारंपरिक सुरक्षा उपकरणों द्वारा पता लगाने से बचने की इसकी क्षमता को महत्वपूर्ण रूप से बढ़ाता है। वैध प्रक्रियाओं में असुरक्षित कोड को इंजेक्ट करके, यह अपनी कमांड शेल गतिविधियों को छुपाता है, सामान्य सिस्टम फ़ंक्शन के साथ सहजता से मिश्रण करता है और इसके व्यवहार का पता लगाने और विश्लेषण करने के प्रयासों को जटिल बनाता है।