EAGERBEE ļaunprātīga programmatūra
Tika novērota nesen atjaunināta EAGERBEE ļaunprātīgas programmatūras ietvara versija, kuras mērķauditorija ir interneta pakalpojumu sniedzēji (ISP) un valdības organizācijas Tuvajos Austrumos.
Šī jaunākā iterācija, kas pazīstama arī kā Thumtais, ietver virkni komponentu, kas ļauj izvietot papildu slodzes, izpētīt failu sistēmas un izpildīt komandu čaulas. Šie uzlabojumi iezīmē ievērojamu uzlabojumu tās iespējās.
Satura rādītājs
Moduļu dizains un funkcionālās kategorijas
Aizmugurējās durvis balstās uz galvenajiem spraudņiem, kurus var grupēt, pamatojoties uz to funkcijām: spraudņu orķestrētājs, failu sistēmas manipulācijas, attālās piekļuves pārvaldnieks, procesu izpēte, tīkla savienojumu saraksts un pakalpojumu pārvaldība. Kiberdrošības pētnieki ir saistījuši EAGERBEE ar vidēju pārliecību ar draudu grupu, kas pazīstama kā CoughingDown.
Sākotnēji EAGERBEE bija saistīta ar valsts sponsorētu kiberspiegošanas grupu ar nosaukumu REF5961. Šīs aizmugures durvis, lai gan tehniski ir vienkāršas, atbalsta gan uz priekšu, gan atpakaļgaitā esošos komandu un vadības kanālus ar SSL šifrēšanu. Tas galvenokārt ir paredzēts sistēmas iepazīšanai un papildu izpildāmo failu piegādei pēcekspluatācijas darbībām.
Spiegošanas operācijas un savienojumi ar Cluster Alpha
Vēlāk veiktās izmeklēšanas atklāja, ka EAGERBEE modificēta versija tika izmantota kiberspiegošanas kampaņās, kas tika attiecinātas uz Ķīnas valsti saistītu apdraudējumu dalībnieku, kas pazīstams kā Cluster Alpha. Šīs operācijas kodētais nosaukums bija Crimson Palace, un tās mērķis bija iegūt sensitīvu politisko un militāro izlūkdatu no augsta līmeņa valdības aģentūras Dienvidaustrumāzijā.
Cluster Alpha eksponāti pārklājas ar citām kiberspiegošanas grupām, tostarp BackdoorDiplomacy , REF5961, Worok un TA428. Proti, BackdoorDiplomacy ir kopīgas taktiskās īpašības ar CloudComputating (sauktu arī par Faking Dragon), ķīniešu valodā runājošu vienību, kas saistīta ar modulāru ļaunprātīgas programmatūras sistēmu, kas pazīstama kā QSC. Šī sistēma ir novērota kiberuzbrukumos telekomunikāciju nozarei Dienvidāzijā.
Atmiņas izpildes un slepenas iespējas
QSC seko modulārai arhitektūrai, kurā diskā tiek saglabāts tikai sākotnējais ielādētājs, bet galvenie un tīkla komponenti paliek atmiņā. Šī pieeja ļauj uzbrucējiem dinamiski ielādēt spraudņus, pamatojoties uz viņu mērķiem.
Jaunākajos EAGERBEE ielaušanās gadījumos inžektors DLL izpilda aizmugures durvju moduli. Pēc aktivizēšanas aizmugures durvis apkopo sistēmas informāciju un nosūta tos uz attālo serveri, izmantojot TCP ligzdu. Konkrētā metode, kas izmantota, lai iegūtu sākotnējo piekļuvi šajos incidentos, joprojām nav skaidra.
Attālais serveris reaģē, izvietojot Plugin Orchestrator, kas izgūst un ziņo par sistēmas informāciju, piemēram, domēna NetBIOS nosaukumus, atmiņas lietojuma statistiku un sistēmas lokalizācijas iestatījumus. Tā arī apkopo datus par notiekošajiem procesiem, gaidot papildu norādījumus, tostarp:
- Spraudņu ievadīšana atmiņā
- Atsevišķu spraudņu izlādēšana vai visu notīrīšana no saraksta
- Pārbauda, vai spraudnis ir aktīvs
Katrs spraudnis izpilda komandas no orķestratora, apstrādājot failu pārvaldību, procesu kontroli, attālo savienojumu, sistēmas pakalpojumu uzraudzību un tīkla savienojuma uzraudzību.
Ievainojamību un pastāvīgu draudu izmantošana
Pētnieki ir identificējuši EAGERBEE infekcijas vairākās organizācijās Austrumāzijā, un vismaz divi pārkāpumi ir saistīti ar ProxyLogon ievainojamību (CVE-2021-26855). Šādos gadījumos uzbrucēji izvietoja tīmekļa čaulas, lai izpildītu komandas apdraudētajos serveros, kas galu galā noveda pie aizmugures durvju instalēšanas.
EAGERBEE galvenokārt darbojas kā atmiņas rezidents, dizains, kas ievērojami uzlabo tā spēju izvairīties no atklāšanas, izmantojot tradicionālos drošības rīkus. Ievadot nedrošu kodu likumīgos procesos, tas slēpj komandas čaulas darbības, nemanāmi sajaucoties ar normālām sistēmas funkcijām un apgrūtinot centienus noteikt un analizēt tā uzvedību.
