EAGERBEE मालवेयर

EAGERBEE मालवेयर ढाँचाको नयाँ अद्यावधिक गरिएको संस्करण इन्टरनेट सेवा प्रदायकहरू (ISPs) र मध्य पूर्वका सरकारी संस्थाहरूलाई लक्षित गरी अवलोकन गरिएको छ।

यो भर्खरको पुनरावृत्ति, Thumtais को रूपमा पनि चिनिन्छ, कम्पोनेन्टहरूको दायरा समावेश गर्दछ जसले यसलाई थप पेलोडहरू प्रयोग गर्न, फाइल प्रणालीहरू अन्वेषण गर्न, र कमाण्ड शेलहरू कार्यान्वयन गर्न सक्षम गर्दछ। यी सुधारहरूले यसको क्षमताहरूमा महत्त्वपूर्ण प्रगतिलाई चिन्ह लगाउँदछ।

मोड्युलर डिजाइन र कार्यात्मक कोटीहरू

ब्याकडोर कुञ्जी प्लगइनहरूमा निर्भर गर्दछ, जसलाई तिनीहरूका कार्यहरूमा आधारित समूहबद्ध गर्न सकिन्छ: प्लगइन अर्केस्ट्रेटर, फाइल प्रणाली हेरफेर, रिमोट पहुँच प्रबन्धक, प्रक्रिया अन्वेषण, नेटवर्क जडान सूची र सेवा व्यवस्थापन। साइबरसुरक्षा अनुसन्धानकर्ताहरूले EAGERBEE लाई कफिङडाउन भनेर चिनिने खतरा समूहसँग मध्यम आत्मविश्वाससँग जोडेका छन्।

सुरुमा, EAGERBEE REF5961 नामित राज्य-प्रायोजित साइबर-जासुसी समूहसँग सम्बन्धित थियो। यो ब्याकडोर, प्राविधिक रूपमा सीधा भए तापनि, SSL एन्क्रिप्शनको साथ अगाडि र उल्टो आदेश-र-नियन्त्रण च्यानलहरूलाई समर्थन गर्दछ। यो मुख्यतया प्रणाली अनुगमनको लागि डिजाइन गरिएको हो र शोषण पछिका गतिविधिहरूको लागि अतिरिक्त कार्यान्वयन योग्यहरूको डेलिभरीलाई सहज बनाउनको लागि डिजाइन गरिएको हो।

क्लस्टर अल्फामा जासूसी सञ्चालन र जडानहरू

पछिको अनुसन्धानले पत्ता लगायो कि EAGERBEE को परिमार्जित संस्करण साइबर जासूसी अभियानहरूमा तैनात गरिएको थियो जसलाई चिनियाँ राज्य-सम्बन्धित खतरा अभिनेता क्लस्टर अल्फा भनिन्छ। क्रिमसन प्यालेस कूटनाम गरिएको यो अपरेसन, दक्षिणपूर्व एशियाको उच्च प्रोफाइल सरकारी एजेन्सीबाट संवेदनशील राजनीतिक र सैन्य खुफिया निकाल्ने उद्देश्यले।

क्लस्टर अल्फाले ब्याकडोर डिप्लोमेसी , REF5961, Worok र TA428 सहित अन्य साइबर-जासुसी समूहहरूसँग ओभरल्यापहरू प्रदर्शन गर्दछ। उल्लेखनीय रूपमा, BackdoorDiplomacy ले CloudComputating (फेकिंग ड्र्यागन पनि भनिन्छ), एक चिनियाँ भाषा बोल्ने निकाय QSC भनेर चिनिने मोड्युलर मालवेयर फ्रेमवर्कसँग जोडिएको रणनीतिक विशेषताहरू साझा गर्दछ। यो ढाँचा दक्षिण एसियामा दूरसञ्चार क्षेत्र विरुद्ध साइबर हमलाहरूमा अवलोकन गरिएको छ।

इन-मेमोरी कार्यान्वयन र चोरी क्षमताहरू

QSC ले मोड्युलर आर्किटेक्चरलाई पछ्याउँछ जसमा केवल प्रारम्भिक लोडर डिस्कमा भण्डारण गरिन्छ, जबकि कोर र नेटवर्क कम्पोनेन्टहरू मेमोरीमा रहन्छन्। यो दृष्टिकोणले आक्रमणकारीहरूलाई तिनीहरूको उद्देश्यहरूको आधारमा गतिशील रूपमा प्लगइनहरू लोड गर्न अनुमति दिन्छ।

सबैभन्दा भर्खरको EAGERBEE घुसपैठहरूमा, इन्जेक्टर DLL ले ब्याकडोर मोड्युल कार्यान्वयन गर्दछ। एकपटक सक्रिय भएपछि, ब्याकडोरले प्रणाली विवरणहरू सङ्कलन गर्दछ र तिनीहरूलाई TCP सकेट मार्फत रिमोट सर्भरमा पठाउँछ। यी घटनाहरूमा प्रारम्भिक पहुँच प्राप्त गर्न प्रयोग गरिएको विशिष्ट विधि अस्पष्ट रहन्छ।

रिमोट सर्भरले प्लगइन अर्केस्ट्रेटर डिप्लोय गरेर प्रतिक्रिया दिन्छ, जसले प्रणाली विवरणहरू जस्तै डोमेन NetBIOS नामहरू, मेमोरी प्रयोग तथ्याङ्कहरू, र प्रणाली लोकेल सेटिङहरू पुन: प्राप्त र रिपोर्ट गर्दछ। यसले थप निर्देशनहरूको पर्खाइमा चलिरहेको प्रक्रियाहरूमा डाटा पनि सङ्कलन गर्दछ, जसमा:

  • मेमोरीमा प्लगइनहरू इन्जेक्ट गर्दै
  • विशिष्ट प्लगइनहरू अनलोड गर्दै वा सूचीबाट सबै खाली गर्दै
  • प्लगइन सक्रिय छ कि छैन भनेर प्रमाणित गर्दै

प्रत्येक प्लगइनले अर्केस्ट्रेटरबाट आदेशहरू कार्यान्वयन गर्दछ, फाइल व्यवस्थापन, प्रक्रिया नियन्त्रण, रिमोट जडान, प्रणाली सेवा निरीक्षण, र नेटवर्क जडान निगरानी।

कमजोरीहरू र लगातार धम्कीहरू शोषण गर्दै

अन्वेषकहरूले पूर्वी एशियाका धेरै संस्थाहरूमा EAGERBEE संक्रमणहरू पहिचान गरेका छन्, कम्तिमा दुईवटा उल्लङ्घनहरू ProxyLogon vulnerability (CVE-2021-26855) सँग जोडिएका छन्। यी अवस्थाहरूमा, आक्रमणकारीहरूले सम्झौता गरिएका सर्भरहरूमा आदेशहरू कार्यान्वयन गर्न वेब शेलहरू तैनाथ गरे, अन्ततः ब्याकडोर स्थापना गर्न अग्रसर भयो।

EAGERBEE ले मुख्यतया मेमोरी-रेसिडेन्ट फ्रेमवर्कको रूपमा सञ्चालन गर्दछ, एक डिजाइन जसले परम्परागत सुरक्षा उपकरणहरूद्वारा पत्ता लगाउनबाट बच्ने क्षमतालाई उल्लेखनीय रूपमा बढाउँछ। असुरक्षित कोडलाई वैध प्रक्रियाहरूमा इन्जेक्सन गरेर, यसले आफ्नो कमाण्ड शेल गतिविधिहरू लुकाउँछ, सामान्य प्रणाली प्रकार्यहरूसँग सहज रूपमा मिश्रण गर्दछ र यसको व्यवहार पत्ता लगाउन र विश्लेषण गर्न प्रयासहरू जटिल बनाउँछ।

ट्रेन्डिङ

धेरै हेरिएको

लोड गर्दै...