Grėsmių duomenų bazė Kenkėjiška programa EAGERBEE kenkėjiška programa

EAGERBEE kenkėjiška programa

Pastebėta, kad naujai atnaujinta EAGERBEE kenkėjiškų programų sistemos versija skirta Artimųjų Rytų interneto paslaugų teikėjams (IPT) ir vyriausybinėms organizacijoms.

Ši naujausia iteracija, dar žinoma kaip Thumtais, apima daugybę komponentų, leidžiančių jai įdiegti papildomus naudingus krovinius, tyrinėti failų sistemas ir vykdyti komandų apvalkalus. Šie patobulinimai žymi didelę jos galimybių pažangą.

Modulinis dizainas ir funkcinės kategorijos

Užpakalinės durys priklauso nuo pagrindinių įskiepių, kuriuos galima sugrupuoti pagal jų funkcijas: įskiepių organizatorius, failų sistemos manipuliavimas, nuotolinės prieigos tvarkyklė, procesų tyrinėjimas, tinklo ryšio sąrašas ir paslaugų valdymas. Kibernetinio saugumo tyrėjai susiejo EAGERBEE su vidutiniu pasitikėjimu grėsmių grupe, žinoma kaip CoughingDown.

Iš pradžių EAGERBEE buvo siejama su valstybės remiama kibernetinio šnipinėjimo grupe, pavadinta REF5961. Šios užpakalinės durys, nors ir techniškai nesudėtingos, palaiko ir pirmyn, ir atgal nukreiptus komandų ir valdymo kanalus su SSL šifravimu. Jis visų pirma skirtas sistemos žvalgybai ir palengvinti papildomų vykdomųjų failų pristatymą, skirtą veiklai po eksploatacijos.

Šnipinėjimo operacijos ir jungtys su klasterio alfa

Vėlesni tyrimai atskleidė, kad modifikuota EAGERBEE versija buvo panaudota kibernetinio šnipinėjimo kampanijose, priskirtose Kinijos valstybei priklausančiam grėsmės veikėjui, žinomam kaip Cluster Alpha. Šia operacija, pavadinta „Crimson Palace“, buvo siekiama iš aukšto lygio vyriausybinės agentūros Pietryčių Azijoje išgauti jautrią politinę ir karinę žvalgybos informaciją.

Cluster Alpha eksponatai sutampa su kitomis kibernetinio šnipinėjimo grupėmis, įskaitant BackdoorDiplomacy , REF5961, Worok ir TA428. Pažymėtina, kad „BackdoorDiplomacy“ pasižymi taktinėmis savybėmis su „CloudComputating“ (dar vadinamu „Faking Dragon“) – kiniškai kalbančiu subjektu, susietu su moduline kenkėjiškų programų sistema, žinoma kaip QSC. Ši sistema buvo pastebėta per kibernetines atakas prieš telekomunikacijų sektorių Pietų Azijoje.

Vykdymo atmintyje ir slaptumo galimybės

QSC veikia pagal modulinę architektūrą, kurioje diske saugomas tik pradinis įkroviklis, o pagrindiniai ir tinklo komponentai lieka atmintyje. Šis metodas leidžia užpuolikams dinamiškai įkelti papildinius pagal savo tikslus.

Naujausių EAGERBEE įsibrovimų metu injektorius DLL vykdo galinių durų modulį. Kai tik suaktyvinta, užpakalinės durys surenka sistemos detales ir perduoda jas nuotoliniam serveriui per TCP lizdą. Konkretus būdas gauti pirminę prieigą šių incidentų metu lieka neaiškus.

Nuotolinis serveris atsako įdiegdamas įskiepių orkestrantą, kuris nuskaito ir praneša apie sistemos informaciją, pvz., domenų NetBIOS pavadinimus, atminties naudojimo statistiką ir sistemos lokalės nustatymus. Ji taip pat renka duomenis apie vykdomus procesus, kol laukia tolesnių nurodymų, įskaitant:

  • Papildinių įvedimas į atmintį
  • Konkrečių priedų iškrovimas arba visų išvalymas iš sąrašo
  • Tikrinama, ar įskiepis aktyvus

Kiekvienas papildinys vykdo komandas iš orkestro, tvarkydamas failų valdymą, procesų valdymą, nuotolinį ryšį, sistemos paslaugų priežiūrą ir tinklo ryšio stebėjimą.

Pažeidžiamumų ir nuolatinių grėsmių išnaudojimas

Tyrėjai nustatė EAGERBEE infekcijas keliose Rytų Azijos organizacijose, o mažiausiai du pažeidimai buvo susiję su ProxyLogon pažeidžiamumu (CVE-2021-26855). Tokiais atvejais užpuolikai įdiegė žiniatinklio apvalkalus, kad vykdytų komandas pažeistuose serveriuose, todėl galiausiai buvo įdiegtos užpakalinės durys.

EAGERBEE pirmiausia veikia kaip atminties nuolatinė sistema, kuri žymiai pagerina jos galimybę išvengti aptikimo naudojant įprastus saugos įrankius. Įvesdamas nesaugų kodą į teisėtus procesus, jis slepia savo komandų apvalkalo veiklą, sklandžiai susiliedamas su įprastomis sistemos funkcijomis ir apsunkindamas pastangas aptikti ir analizuoti jos elgesį.

Tendencijos

Labiausiai žiūrima

Įkeliama...