Database delle minacce Malware Malware EAGERBEE

Malware EAGERBEE

È stata osservata una versione recentemente aggiornata del framework malware EAGERBEE che prende di mira i provider di servizi Internet (ISP) e le organizzazioni governative in Medio Oriente.

Questa ultima iterazione, nota anche come Thumtais, include una gamma di componenti che le consentono di distribuire payload aggiuntivi, esplorare file system ed eseguire shell di comando. Questi miglioramenti segnano un significativo progresso nelle sue capacità.

Design modulare e categorie funzionali

La backdoor si basa su plugin chiave, che possono essere raggruppati in base alle loro funzioni: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing e Service Management. I ricercatori di sicurezza informatica hanno collegato EAGERBEE con una confidenza media a un gruppo di minacce noto come CoughingDown.

Inizialmente, EAGERBEE era associato a un gruppo di cyber-spionaggio sponsorizzato dallo stato denominato REF5961. Questa backdoor, sebbene tecnicamente semplice, supporta sia i canali di comando e controllo diretti che inversi con crittografia SSL. È progettata principalmente per la ricognizione del sistema e per facilitare la distribuzione di eseguibili aggiuntivi per le attività di post-sfruttamento.

Operazioni di spionaggio e connessioni al Cluster Alpha

Indagini successive hanno rivelato che una versione modificata di EAGERBEE è stata impiegata in campagne di cyber spionaggio attribuite a un threat actor affiliato allo stato cinese noto come Cluster Alpha. Questa operazione, nome in codice Crimson Palace, mirava a estrarre informazioni politiche e militari sensibili da un'agenzia governativa di alto profilo nel sud-est asiatico.

Cluster Alpha mostra sovrapposizioni con altri gruppi di cyber-spionaggio, tra cui BackdoorDiplomacy , REF5961, Worok e TA428. In particolare, BackdoorDiplomacy condivide caratteristiche tattiche con CloudComputating (chiamato anche Faking Dragon), un'entità di lingua cinese collegata a un framework di malware modulare noto come QSC. Questo framework è stato osservato in attacchi informatici contro il settore delle telecomunicazioni nell'Asia meridionale.

Esecuzione in memoria e capacità stealth

QSC segue un'architettura modulare in cui solo il loader iniziale è memorizzato su disco, mentre i componenti core e di rete rimangono in memoria. Questo approccio consente agli aggressori di caricare i plugin in base ai loro obiettivi in modo dinamico.

Nelle intrusioni EAGERBEE più recenti, un injector DLL esegue il modulo backdoor. Una volta attivato, il backdoor raccoglie i dettagli del sistema e li trasmette a un server remoto tramite un socket TCP. Il metodo specifico utilizzato per ottenere l'accesso iniziale in questi incidenti rimane poco chiaro.

Il server remoto risponde distribuendo il Plugin Orchestrator, che recupera e segnala i dettagli del sistema, come i nomi NetBIOS del dominio, le statistiche sull'utilizzo della memoria e le impostazioni locali del sistema. Raccoglie inoltre dati sui processi in esecuzione in attesa di ulteriori istruzioni, tra cui:

  • Iniezione di plugin nella memoria
  • Scaricamento di plugin specifici o cancellazione di tutti dall'elenco
  • Verifica se un plugin è attivo

Ogni plugin esegue i comandi dell'orchestratore, gestendo la gestione dei file, il controllo dei processi, la connettività remota, la supervisione dei servizi di sistema e il monitoraggio della connessione di rete.

Sfruttamento delle vulnerabilità e delle minacce persistenti

I ricercatori hanno identificato infezioni EAGERBEE in diverse organizzazioni nell'Asia orientale, con almeno due violazioni collegate alla vulnerabilità ProxyLogon (CVE-2021-26855). In questi casi, gli aggressori hanno distribuito web shell per eseguire comandi su server compromessi, portando infine all'installazione della backdoor.

EAGERBEE opera principalmente come framework residente in memoria, un design che migliora significativamente la sua capacità di eludere il rilevamento da parte di strumenti di sicurezza convenzionali. Iniettando codice non sicuro in processi legittimi, nasconde le sue attività di shell di comando, integrandosi perfettamente con le normali funzioni di sistema e complicando gli sforzi per rilevare e analizzare il suo comportamento.

Tendenza

I più visti

Caricamento in corso...