EAGERBEE Malware
Megfigyelték, hogy az EAGERBEE malware keretrendszer újonnan frissített verziója az internetszolgáltatókat (ISP) és a kormányzati szervezeteket célozza meg a Közel-Keleten.
Ez a legújabb iteráció, más néven Thumtais, egy sor olyan összetevőt tartalmaz, amelyek lehetővé teszik további hasznos terhelések telepítését, fájlrendszerek felfedezését és parancshéjak végrehajtását. Ezek a fejlesztések jelentős előrelépést jelentenek a képességeiben.
Tartalomjegyzék
Moduláris tervezés és funkcionális kategóriák
A hátsó ajtó kulcsfontosságú beépülő modulokra támaszkodik, amelyek funkcióik alapján csoportosíthatók: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing és Service Management. A kiberbiztonsági kutatók az EAGERBEE-t közepes megbízhatósággal a CoughingDown néven ismert fenyegetettségi csoporthoz kapcsolták.
Kezdetben az EAGERBEE egy államilag támogatott, REF5961 névre keresztelt kiberkémkedési csoporttal állt kapcsolatban. Ez a hátsó ajtó, bár technikailag egyszerű, támogatja az előre és hátrafelé irányuló parancs- és vezérlőcsatornákat SSL-titkosítással. Elsősorban rendszerfelderítésre és további végrehajtható fájlok kézbesítésének megkönnyítésére szolgál a kiaknázás utáni tevékenységekhez.
Kémkedési műveletek és kapcsolatok a Cluster Alpha-val
A későbbi vizsgálatok feltárták, hogy az EAGERBEE módosított verzióját bevetették a kiberkémkedési kampányokban, amelyek egy kínai államhoz kötődő, Cluster Alpha néven ismert fenyegetési szereplőnek tulajdoníthatók. A Crimson Palace kódnevű művelet célja, hogy érzékeny politikai és katonai hírszerzést nyerjen ki egy magas rangú délkelet-ázsiai kormányzati ügynökségtől.
A Cluster Alpha átfedéseket mutat más kiberkémkedési csoportokkal, köztük a BackdoorDiplomacy , a REF5961, a Worok és a TA428 csoportokkal. Nevezetesen, a BackdoorDiplomacy megosztja a taktikai jellemzőket a CloudComputating (más néven Faking Dragon) egy kínaiul beszélő entitáséval, amely egy QSC néven ismert moduláris malware keretrendszerhez kapcsolódik. Ezt a keretet a dél-ázsiai távközlési szektor elleni kibertámadásoknál figyelték meg.
Memórián belüli végrehajtási és lopakodó képességek
A QSC moduláris architektúrát követ, amelyben csak a kezdeti betöltő tárolódik a lemezen, míg a mag és a hálózati összetevők a memóriában maradnak. Ez a megközelítés lehetővé teszi a támadók számára, hogy a céljaik alapján dinamikusan töltsék be a bővítményeket.
A legutóbbi EAGERBEE behatolásokban egy injektor DLL hajtja végre a hátsó ajtó modult. Az aktiválás után a hátsó ajtó összegyűjti a rendszer részleteit, és egy TCP-aljzaton keresztül továbbítja azokat egy távoli szerverre. Az ezekben az incidensekben való kezdeti hozzáférés megszerzésének konkrét módszere továbbra is tisztázatlan.
A távoli kiszolgáló a Plugin Orchestrator telepítésével válaszol, amely lekéri és jelenti a rendszer részleteit, például a tartomány NetBIOS neveit, a memóriahasználati statisztikákat és a rendszer területi beállításait. Ezenkívül adatokat gyűjt a futó folyamatokról, amíg további utasításokat vár, beleértve:
- Beépülő modulok beillesztése a memóriába
- Adott bővítmények eltávolítása vagy az összes törlése a listáról
- Annak ellenőrzése, hogy egy beépülő modul aktív-e
Mindegyik beépülő modul végrehajtja a hangszerelő parancsait, kezeli a fájlkezelést, a folyamatvezérlést, a távoli csatlakozást, a rendszerszolgáltatás felügyeletét és a hálózati kapcsolat figyelését.
A sebezhetőségek és a tartós fenyegetések kihasználása
A kutatók EAGERBEE fertőzéseket azonosítottak több szervezetben Kelet-Ázsiában, és legalább két incidens kapcsolódik a ProxyLogon sebezhetőségéhez (CVE-2021-26855). Ezekben az esetekben a támadók webhéjakat telepítettek parancsok végrehajtására a feltört szervereken, ami végül a hátsó ajtó telepítéséhez vezetett.
Az EAGERBEE elsősorban memóriarezidens keretrendszerként működik, amely kialakítás jelentősen javítja a hagyományos biztonsági eszközökkel való észlelés elkerülését. Azáltal, hogy nem biztonságos kódot fecskendez be a legitim folyamatokba, elrejti parancshéj-tevékenységeit, zökkenőmentesen keveredik a normál rendszerfunkciókkal, és megnehezíti a viselkedés észlelésére és elemzésére irányuló erőfeszítéseket.