Baza prijetnji Malware EAGERBEE Malware

EAGERBEE Malware

Uočena je nova ažurirana verzija okvira zlonamjernog softvera EAGERBEE koja cilja na pružatelje internetskih usluga (ISP) i vladine organizacije na Bliskom istoku.

Ova najnovija iteracija, također poznata kao Thumtais, uključuje niz komponenti koje mu omogućuju postavljanje dodatnih korisnih opterećenja, istraživanje datotečnih sustava i izvršavanje ljuski naredbi. Ova poboljšanja označavaju značajan napredak u njegovim mogućnostima.

Modularni dizajn i funkcionalne kategorije

Backdoor se oslanja na ključne dodatke, koji se mogu grupirati na temelju njihovih funkcija: Plugin Orchestrator, Manipulacija datotečnim sustavom, Upravitelj udaljenog pristupa, Istraživanje procesa, Popis mrežnih veza i Upravljanje uslugama. Istraživači kibernetičke sigurnosti sa srednjom pouzdanošću povezuju EAGERBEE s prijetnjom grupom poznatom kao CoughingDown.

U početku je EAGERBEE bio povezan s grupom za kibernetičku špijunažu pod pokroviteljstvom države označenom kao REF5961. Ova stražnja vrata, iako tehnički jednostavna, podržavaju i prednje i obrnute naredbeno-kontrolne kanale sa SSL enkripcijom. Prvenstveno je dizajniran za izviđanje sustava i olakšavanje isporuke dodatnih izvršnih datoteka za aktivnosti nakon eksploatacije.

Špijunske operacije i veze s klasterom Alpha

Kasnije istrage otkrile su da je modificirana verzija EAGERBEE-a bila raspoređena u kampanjama cyber špijunaže koje se pripisuju kineskom državnom akteru prijetnji poznatom kao Cluster Alpha. Ova operacija kodnog naziva Crimson Palace, imala je za cilj izvući osjetljive političke i vojne obavještajne podatke iz vladine agencije visokog profila u jugoistočnoj Aziji.

Cluster Alpha pokazuje preklapanja s drugim grupama za kibernetičku špijunažu, uključujući BackdoorDiplomacy , REF5961, Worok i TA428. Naime, BackdoorDiplomacy dijeli taktičke karakteristike s CloudComputatingom (također zvanim Faking Dragon), entitetom koji govori kineski i povezan je s modularnim okvirom zlonamjernog softvera poznatim kao QSC. Ovaj je okvir primijećen u kibernetičkim napadima na telekom sektor u južnoj Aziji.

Izvršenje u memoriji i Stealth mogućnosti

QSC slijedi modularnu arhitekturu u kojoj je samo početni program za učitavanje pohranjen na disk, dok komponente jezgre i mreže ostaju u memoriji. Ovaj pristup napadačima omogućuje dinamičko učitavanje dodataka na temelju njihovih ciljeva.

U najnovijim EAGERBEE upadima, injektorski DLL izvršava backdoor modul. Nakon što se aktivira, backdoor prikuplja pojedinosti o sustavu i šalje ih na udaljeni poslužitelj putem TCP utičnice. Konkretna metoda korištena za dobivanje početnog pristupa u ovim incidentima ostaje nejasna.

Udaljeni poslužitelj odgovara postavljanjem Plugin Orchestrator-a, koji dohvaća i izvješćuje o detaljima sustava kao što su NetBIOS imena domene, statistika korištenja memorije i lokalne postavke sustava. Također prikuplja podatke o pokrenutim procesima dok čeka daljnje upute, uključujući:

  • Ubacivanje dodataka u memoriju
  • Učitavanje određenih dodataka ili brisanje svih s popisa
  • Provjera je li dodatak aktivan

Svaki dodatak izvršava naredbe iz orkestratora, upravljajući upravljanjem datotekama, kontrolom procesa, daljinskim povezivanjem, nadzorom usluga sustava i nadzorom mrežne veze.

Iskorištavanje ranjivosti i stalnih prijetnji

Istraživači su identificirali EAGERBEE infekcije u više organizacija u istočnoj Aziji, s najmanje dva proboja povezana s ranjivošću ProxyLogon (CVE-2021-26855). U tim slučajevima, napadači su postavili web školjke za izvršavanje naredbi na kompromitiranim poslužiteljima, što je u konačnici dovelo do instalacije stražnjih vrata.

EAGERBEE radi primarno kao memorijski rezidentni okvir, dizajn koji značajno poboljšava njegovu sposobnost da izbjegne otkrivanje konvencionalnim sigurnosnim alatima. Ubacivanjem nesigurnog koda u legitimne procese, skriva svoje aktivnosti naredbene ljuske, neprimjetno se stapajući s normalnim funkcijama sustava i komplicirajući napore da se otkrije i analizira njegovo ponašanje.

U trendu

Nagledanije

Učitavam...