EAGERBEE Malware

Versi rangka kerja perisian hasad EAGERBEE yang baru dikemas kini telah diperhatikan menyasarkan Penyedia Perkhidmatan Internet (ISP) dan organisasi kerajaan di Timur Tengah.

Lelaran terbaru ini, juga dikenali sebagai Thumtais, termasuk pelbagai komponen yang membolehkannya menggunakan muatan tambahan, meneroka sistem fail dan melaksanakan cengkerang arahan. Penambahbaikan ini menandakan kemajuan ketara dalam keupayaannya.

Reka Bentuk Modular dan Kategori Fungsian

Pintu belakang bergantung pada pemalam utama, yang boleh dikumpulkan berdasarkan fungsinya: Pemalam Orchestrator, Manipulasi Sistem Fail, Pengurus Capaian Jauh, Penerokaan Proses, Penyenaraian Sambungan Rangkaian dan Pengurusan Perkhidmatan. Penyelidik keselamatan siber telah mengaitkan EAGERBEE dengan keyakinan sederhana kepada kumpulan ancaman yang dikenali sebagai CoughingDown.

Pada mulanya, EAGERBEE dikaitkan dengan kumpulan pengintipan siber tajaan negara yang ditetapkan REF5961. Pintu belakang ini, walaupun secara teknikalnya mudah, menyokong kedua-dua saluran arahan dan kawalan ke hadapan dan belakang dengan penyulitan SSL. Ia direka terutamanya untuk peninjauan sistem dan untuk memudahkan penghantaran executable tambahan untuk aktiviti pasca eksploitasi.

Operasi Pengintipan dan Sambungan kepada Kluster Alpha

Siasatan kemudian mendedahkan bahawa versi EAGERBEE yang diubah suai telah digunakan dalam kempen pengintipan siber yang dikaitkan dengan pelakon ancaman gabungan negara China yang dikenali sebagai Cluster Alpha. Operasi ini diberi nama kod Istana Crimson, bertujuan untuk mengeluarkan risikan politik dan ketenteraan yang sensitif daripada agensi kerajaan berprofil tinggi di Asia Tenggara.

Kluster Alpha mempamerkan pertindihan dengan kumpulan pengintipan siber lain, termasuk BackdoorDiplomacy , REF5961, Worok dan TA428. Terutama, BackdoorDiplomacy berkongsi ciri taktikal dengan CloudComputating (juga dipanggil Faking Dragon), entiti berbahasa Cina yang dipautkan kepada rangka kerja perisian hasad modular yang dikenali sebagai QSC. Rangka kerja ini telah diperhatikan dalam serangan siber terhadap sektor telekomunikasi di Asia Selatan.

Perlaksanaan Dalam Memori dan Keupayaan Stealth

QSC mengikuti seni bina modular di mana hanya pemuat awal disimpan pada cakera, manakala komponen teras dan rangkaian kekal dalam ingatan. Pendekatan ini membolehkan penyerang memuatkan pemalam berdasarkan objektif mereka secara dinamik.

Dalam pencerobohan EAGERBEE terbaharu, DLL penyuntik melaksanakan modul pintu belakang. Setelah diaktifkan, pintu belakang mengumpulkan butiran sistem dan menghantarnya ke pelayan jauh melalui soket TCP. Kaedah khusus yang digunakan untuk mendapatkan akses awal dalam insiden ini masih tidak jelas.

Pelayan jauh bertindak balas dengan menggunakan Plugin Orchestrator, yang mengambil dan melaporkan butiran sistem seperti nama NetBIOS domain, statistik penggunaan memori dan tetapan tempat sistem. Ia juga mengumpul data tentang proses yang sedang berjalan sambil menunggu arahan selanjutnya, termasuk:

  • Menyuntik pemalam ke dalam memori
  • Memunggah pemalam tertentu atau mengosongkan semua daripada senarai
  • Mengesahkan sama ada pemalam aktif

Setiap pemalam melaksanakan arahan daripada orkestra, mengendalikan pengurusan fail, kawalan proses, sambungan jauh, pengawasan perkhidmatan sistem dan pemantauan sambungan rangkaian.

Memanfaatkan Kerentanan dan Ancaman Berterusan

Penyelidik telah mengenal pasti jangkitan EAGERBEE merentas pelbagai organisasi di Asia Timur, dengan sekurang-kurangnya dua pelanggaran dikaitkan dengan kerentanan ProxyLogon (CVE-2021-26855). Dalam kes ini, penyerang menggunakan cengkerang web untuk melaksanakan arahan pada pelayan yang terjejas, akhirnya membawa kepada pemasangan pintu belakang.

EAGERBEE beroperasi terutamanya sebagai rangka kerja pemastautin memori, reka bentuk yang meningkatkan keupayaannya dengan ketara untuk mengelak pengesanan oleh alat keselamatan konvensional. Dengan menyuntik kod yang tidak selamat ke dalam proses yang sah, ia menyembunyikan aktiviti shell arahannya, menggabungkan dengan lancar dengan fungsi sistem biasa dan merumitkan usaha untuk mengesan dan menganalisis kelakuannya.

Trending

Paling banyak dilihat

Memuatkan...