EAGERBEE Malware
Uočena je nova ažurirana verzija okvira zlonamjernog softvera EAGERBEE koja cilja na pružatelje internetskih usluga (ISP) i vladine organizacije na Bliskom istoku.
Ova najnovija iteracija, također poznata kao Thumtais, uključuje niz komponenti koje mu omogućuju postavljanje dodatnih korisnih opterećenja, istraživanje datotečnih sustava i izvršavanje ljuski naredbi. Ova poboljšanja označavaju značajan napredak u njegovim mogućnostima.
Sadržaj
Modularni dizajn i funkcionalne kategorije
Backdoor se oslanja na ključne dodatke, koji se mogu grupirati na temelju njihovih funkcija: Plugin Orchestrator, Manipulacija datotečnim sustavom, Upravitelj udaljenog pristupa, Istraživanje procesa, Popis mrežnih veza i Upravljanje uslugama. Istraživači kibernetičke sigurnosti sa srednjom pouzdanošću povezuju EAGERBEE s prijetnjom grupom poznatom kao CoughingDown.
U početku je EAGERBEE bio povezan s grupom za kibernetičku špijunažu pod pokroviteljstvom države označenom kao REF5961. Ova stražnja vrata, iako tehnički jednostavna, podržavaju i prednje i obrnute naredbeno-kontrolne kanale sa SSL enkripcijom. Prvenstveno je dizajniran za izviđanje sustava i olakšavanje isporuke dodatnih izvršnih datoteka za aktivnosti nakon eksploatacije.
Špijunske operacije i veze s klasterom Alpha
Kasnije istrage otkrile su da je modificirana verzija EAGERBEE-a bila raspoređena u kampanjama cyber špijunaže koje se pripisuju kineskom državnom akteru prijetnji poznatom kao Cluster Alpha. Ova operacija kodnog naziva Crimson Palace, imala je za cilj izvući osjetljive političke i vojne obavještajne podatke iz vladine agencije visokog profila u jugoistočnoj Aziji.
Cluster Alpha pokazuje preklapanja s drugim grupama za kibernetičku špijunažu, uključujući BackdoorDiplomacy , REF5961, Worok i TA428. Naime, BackdoorDiplomacy dijeli taktičke karakteristike s CloudComputatingom (također zvanim Faking Dragon), entitetom koji govori kineski i povezan je s modularnim okvirom zlonamjernog softvera poznatim kao QSC. Ovaj je okvir primijećen u kibernetičkim napadima na telekom sektor u južnoj Aziji.
Izvršenje u memoriji i Stealth mogućnosti
QSC slijedi modularnu arhitekturu u kojoj je samo početni program za učitavanje pohranjen na disk, dok komponente jezgre i mreže ostaju u memoriji. Ovaj pristup napadačima omogućuje dinamičko učitavanje dodataka na temelju njihovih ciljeva.
U najnovijim EAGERBEE upadima, injektorski DLL izvršava backdoor modul. Nakon što se aktivira, backdoor prikuplja pojedinosti o sustavu i šalje ih na udaljeni poslužitelj putem TCP utičnice. Konkretna metoda korištena za dobivanje početnog pristupa u ovim incidentima ostaje nejasna.
Udaljeni poslužitelj odgovara postavljanjem Plugin Orchestrator-a, koji dohvaća i izvješćuje o detaljima sustava kao što su NetBIOS imena domene, statistika korištenja memorije i lokalne postavke sustava. Također prikuplja podatke o pokrenutim procesima dok čeka daljnje upute, uključujući:
- Ubacivanje dodataka u memoriju
- Učitavanje određenih dodataka ili brisanje svih s popisa
- Provjera je li dodatak aktivan
Svaki dodatak izvršava naredbe iz orkestratora, upravljajući upravljanjem datotekama, kontrolom procesa, daljinskim povezivanjem, nadzorom usluga sustava i nadzorom mrežne veze.
Iskorištavanje ranjivosti i stalnih prijetnji
Istraživači su identificirali EAGERBEE infekcije u više organizacija u istočnoj Aziji, s najmanje dva proboja povezana s ranjivošću ProxyLogon (CVE-2021-26855). U tim slučajevima, napadači su postavili web školjke za izvršavanje naredbi na kompromitiranim poslužiteljima, što je u konačnici dovelo do instalacije stražnjih vrata.
EAGERBEE radi primarno kao memorijski rezidentni okvir, dizajn koji značajno poboljšava njegovu sposobnost da izbjegne otkrivanje konvencionalnim sigurnosnim alatima. Ubacivanjem nesigurnog koda u legitimne procese, skriva svoje aktivnosti naredbene ljuske, neprimjetno se stapajući s normalnim funkcijama sustava i komplicirajući napore da se otkrije i analizira njegovo ponašanje.