EAGERBEE 맬웨어
EAGERBEE 맬웨어 프레임워크의 새롭게 업데이트된 버전이 중동의 인터넷 서비스 공급자(ISP)와 정부 기관을 표적으로 삼는 것으로 관찰되었습니다.
Thumtais라고도 알려진 이 최신 반복에는 추가 페이로드를 배포하고, 파일 시스템을 탐색하고, 명령 셸을 실행할 수 있는 다양한 구성 요소가 포함되어 있습니다. 이러한 향상은 기능에서 상당한 진전을 나타냅니다.
목차
모듈형 디자인과 기능적 카테고리
백도어는 주요 플러그인에 의존하는데, 플러그인은 기능에 따라 그룹화할 수 있습니다. 플러그인 오케스트레이터, 파일 시스템 조작, 원격 액세스 관리자, 프로세스 탐색, 네트워크 연결 목록 및 서비스 관리. 사이버 보안 연구자들은 EAGERBEE를 CoughingDown이라는 위협 그룹과 중간 정도의 신뢰도로 연결했습니다.
처음에 EAGERBEE는 REF5961로 지정된 국가 지원 사이버 간첩 그룹과 관련이 있었습니다. 이 백도어는 기술적으로는 간단하지만 SSL 암호화를 사용하여 전방 및 후방 명령 및 제어 채널을 모두 지원합니다. 주로 시스템 정찰을 위해 설계되었으며, 익스플로잇 후 활동을 위한 추가 실행 파일의 전달을 용이하게 하도록 설계되었습니다.
스파이 작전 및 클러스터 알파와의 연결
이후의 조사에서 수정된 버전의 EAGERBEE가 Cluster Alpha로 알려진 중국 국가와 제휴한 위협 행위자에 기인한 사이버 스파이 캠페인에 배치되었다는 사실이 밝혀졌습니다. Crimson Palace라는 코드명의 이 작전은 동남아시아의 유명 정부 기관에서 민감한 정치 및 군사 정보를 추출하는 것을 목표로 했습니다.
클러스터 알파는 BackdoorDiplomacy , REF5961, Worok 및 TA428을 포함한 다른 사이버 스파이 그룹과 중복되는 부분을 보여줍니다. 특히 BackdoorDiplomacy는 QSC라는 모듈식 맬웨어 프레임워크와 연결된 중국어 사용 단체인 CloudComputating(Faking Dragon이라고도 함)과 전술적 특성을 공유합니다. 이 프레임워크는 남아시아의 통신 부문에 대한 사이버 공격에서 관찰되었습니다.
메모리 내 실행 및 스텔스 기능
QSC는 모듈형 아키텍처를 따르며, 여기서 초기 로더만 디스크에 저장되고 코어 및 네트워크 구성 요소는 메모리에 남아 있습니다. 이 접근 방식을 통해 공격자는 목표에 따라 플러그인을 동적으로 로드할 수 있습니다.
가장 최근의 EAGERBEE 침입에서 인젝터 DLL이 백도어 모듈을 실행합니다. 백도어가 활성화되면 시스템 세부 정보를 수집하여 TCP 소켓을 통해 원격 서버로 전송합니다. 이러한 사건에서 초기 액세스를 얻는 데 사용된 구체적인 방법은 여전히 불분명합니다.
원격 서버는 플러그인 오케스트레이터를 배포하여 응답합니다. 플러그인 오케스트레이터는 도메인 NetBIOS 이름, 메모리 사용 통계, 시스템 로캘 설정과 같은 시스템 세부 정보를 검색하여 보고합니다. 또한 다음을 포함하여 추가 지침을 기다리는 동안 실행 중인 프로세스에 대한 데이터도 수집합니다.
- 플러그인을 메모리에 주입
- 특정 플러그인 언로드 또는 목록에서 모든 플러그인 지우기
- 플러그인이 활성화되어 있는지 확인하기
각 플러그인은 오케스트레이터의 명령을 실행하여 파일 관리, 프로세스 제어, 원격 연결, 시스템 서비스 감독, 네트워크 연결 모니터링을 처리합니다.
취약점 및 지속적인 위협 악용
연구자들은 동아시아의 여러 조직에서 EAGERBEE 감염을 확인했으며, 적어도 두 건의 침해가 ProxyLogon 취약성(CVE-2021-26855)과 관련이 있었습니다. 이러한 경우 공격자는 손상된 서버에서 명령을 실행하기 위해 웹 셸을 배포했고, 궁극적으로 백도어 설치로 이어졌습니다.
EAGERBEE는 주로 메모리 상주 프레임워크로 작동하며, 이 설계는 기존 보안 도구의 탐지를 회피하는 능력을 크게 향상시킵니다. 합법적인 프로세스에 안전하지 않은 코드를 주입함으로써 명령 셸 활동을 숨기고, 정상적인 시스템 기능과 원활하게 혼합하여 동작을 탐지하고 분석하려는 노력을 복잡하게 만듭니다.
