EAGERBEE skadelig programvare
En nylig oppdatert versjon av EAGERBEE malware-rammeverket har blitt observert rettet mot Internett-leverandører (ISP) og offentlige organisasjoner i Midtøsten.
Denne siste iterasjonen, også kjent som Thumtais, inkluderer en rekke komponenter som gjør den i stand til å distribuere ytterligere nyttelast, utforske filsystemer og utføre kommandoskall. Disse forbedringene markerer et betydelig fremskritt i dens evner.
Innholdsfortegnelse
Modulær design og funksjonelle kategorier
Bakdøren er avhengig av nøkkelplugins, som kan grupperes basert på funksjonene deres: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing og Service Management. Cybersikkerhetsforskere har knyttet EAGERBEE med middels selvtillit til en trusselgruppe kjent som CoughingDown.
Opprinnelig var EAGERBEE assosiert med en statsstøttet cyberspionasjegruppe kalt REF5961. Denne bakdøren, selv om den er teknisk enkel, støtter både forover og bakover kommando-og-kontroll-kanaler med SSL-kryptering. Den er først og fremst designet for systemrekognosering og for å lette leveringen av ytterligere kjørbare filer for aktiviteter etter utnyttelse.
Spionasjeoperasjoner og tilkoblinger til Cluster Alpha
Senere undersøkelser avslørte at en modifisert versjon av EAGERBEE ble utplassert i cyberspionasjekampanjer tilskrevet en kinesisk statstilknyttet trusselaktør kjent som Cluster Alpha. Denne operasjonen med kodenavnet Crimson Palace, hadde som mål å hente ut sensitiv politisk og militær etterretning fra et høyt profilert myndighetsorgan i Sørøst-Asia.
Cluster Alpha-utstillinger overlapper med andre cyberspionasjegrupper, inkludert BackdoorDiplomacy , REF5961, Worok og TA428. Spesielt deler BackdoorDiplomacy taktiske egenskaper med CloudComputating (også kalt Faking Dragon), en kinesisktalende enhet knyttet til et modulært rammeverk for skadelig programvare kjent som QSC. Dette rammeverket har blitt observert i nettangrep mot telekomsektoren i Sør-Asia.
In-Memory Execution and Stealth Capabilities
QSC følger en modulær arkitektur der bare den første lasteren er lagret på disken, mens kjerne- og nettverkskomponenter forblir i minnet. Denne tilnærmingen lar angripere laste inn plugins basert på målene deres dynamisk.
I de siste EAGERBEE-inntrengingene kjører en injektor-DLL bakdørsmodulen. Når den er aktivert, samler bakdøren systemdetaljer og overfører dem til en ekstern server via en TCP-kontakt. Den spesifikke metoden som ble brukt for å få innledende tilgang i disse hendelsene er fortsatt uklar.
Den eksterne serveren reagerer ved å distribuere Plugin Orchestrator, som henter og rapporterer systemdetaljer som domene NetBIOS-navn, minnebruksstatistikk og systeminnstillinger. Den samler også inn data om kjørende prosesser mens den venter på ytterligere instruksjoner, inkludert:
- Injiserer plugins i minnet
- Laster ut spesifikke plugins eller sletter alle fra listen
- Kontrollerer om en plugin er aktiv
Hver plugin utfører kommandoer fra orkestratoren, håndterer filbehandling, prosesskontroll, ekstern tilkobling, systemtjenesteovervåking og nettverkstilkoblingsovervåking.
Utnyttelse av sårbarheter og vedvarende trusler
Forskere har identifisert EAGERBEE-infeksjoner på tvers av flere organisasjoner i Øst-Asia, med minst to brudd knyttet til ProxyLogon-sårbarheten (CVE-2021-26855). I disse tilfellene distribuerte angripere nettskjell for å utføre kommandoer på kompromitterte servere, noe som til slutt førte til installasjonen av bakdøren.
EAGERBEE opererer først og fremst som et minneresident rammeverk, et design som forbedrer evnen til å unngå gjenkjenning med konvensjonelle sikkerhetsverktøy betydelig. Ved å injisere usikker kode i legitime prosesser, skjuler den sine kommandoskallaktiviteter, sømløst blandet med normale systemfunksjoner og kompliserer innsatsen for å oppdage og analysere atferden.