Bedreigingsdatabase Malware EAGERBEE-malware

EAGERBEE-malware

Er is een onlangs bijgewerkte versie van het EAGERBEE-malwareframework waargenomen die gericht is op internetproviders (ISP's) en overheidsorganisaties in het Midden-Oosten.

Deze nieuwste iteratie, ook bekend als Thumtais, bevat een reeks componenten waarmee het extra payloads kan implementeren, bestandssystemen kan verkennen en opdrachtshells kan uitvoeren. Deze verbeteringen markeren een significante vooruitgang in zijn mogelijkheden.

Modulair ontwerp en functionele categorieën

De backdoor is afhankelijk van belangrijke plugins, die gegroepeerd kunnen worden op basis van hun functies: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing en Service Management. Cybersecurity-onderzoekers hebben EAGERBEE met gemiddelde zekerheid gekoppeld aan een dreigingsgroep die bekend staat als CoughingDown.

Aanvankelijk was EAGERBEE geassocieerd met een door de staat gesponsorde cyber-espionagegroep met de naam REF5961. Deze backdoor, hoewel technisch eenvoudig, ondersteunt zowel forward als reverse command-and-control-kanalen met SSL-encryptie. Het is primair ontworpen voor systeemverkenning en om de levering van extra uitvoerbare bestanden voor post-exploitatie-activiteiten te vergemakkelijken.

Spionageoperaties en verbindingen met Cluster Alpha

Latere onderzoeken onthulden dat een aangepaste versie van EAGERBEE werd ingezet in cyberespionagecampagnes die werden toegeschreven aan een Chinese staatsgerelateerde dreigingsactor die bekendstaat als Cluster Alpha. Deze operatie met de codenaam Crimson Palace was gericht op het verkrijgen van gevoelige politieke en militaire inlichtingen van een vooraanstaande overheidsinstantie in Zuidoost-Azië.

Cluster Alpha vertoont overlappingen met andere cyber-espionagegroepen, waaronder BackdoorDiplomacy , REF5961, Worok en TA428. Opvallend is dat BackdoorDiplomacy tactische kenmerken deelt met CloudComputating (ook wel Faking Dragon genoemd), een Chinees sprekende entiteit die is gekoppeld aan een modulair malware-framework dat bekendstaat als QSC. Dit framework is waargenomen bij cyberaanvallen op de telecomsector in Zuid-Azië.

In-Memory Uitvoering en Stealth-mogelijkheden

QSC volgt een modulaire architectuur waarin alleen de initiële loader op schijf wordt opgeslagen, terwijl kern- en netwerkcomponenten in het geheugen blijven. Deze aanpak stelt aanvallers in staat om plug-ins dynamisch te laden op basis van hun doelstellingen.

Bij de meest recente EAGERBEE-inbraken voert een injector-DLL de backdoormodule uit. Zodra deze is geactiveerd, verzamelt de backdoor systeemgegevens en verzendt deze via een TCP-socket naar een externe server. De specifieke methode die is gebruikt om in deze incidenten initiële toegang te krijgen, blijft onduidelijk.

De externe server reageert door de Plugin Orchestrator te implementeren, die systeemdetails ophaalt en rapporteert, zoals domein-NetBIOS-namen, geheugengebruikstatistieken en systeemlandinstellingen. Het verzamelt ook gegevens over actieve processen terwijl het wacht op verdere instructies, waaronder:

  • Plugins in het geheugen injecteren
  • Specifieke plug-ins verwijderen of alles uit de lijst wissen
  • Controleren of een plug-in actief is

Elke plug-in voert opdrachten uit van de orchestrator en regelt bestandsbeheer, procesbesturing, externe connectiviteit, toezicht op systeemservices en bewaking van netwerkverbindingen.

Exploiteren van kwetsbaarheden en aanhoudende bedreigingen

Onderzoekers hebben EAGERBEE-infecties geïdentificeerd in meerdere organisaties in Oost-Azië, met ten minste twee inbreuken die verband houden met de ProxyLogon-kwetsbaarheid (CVE-2021-26855). In deze gevallen hebben aanvallers webshells ingezet om opdrachten uit te voeren op gecompromitteerde servers, wat uiteindelijk heeft geleid tot de installatie van de backdoor.

EAGERBEE werkt voornamelijk als een geheugenresident framework, een ontwerp dat zijn vermogen om detectie door conventionele beveiligingstools te ontwijken aanzienlijk verbetert. Door onveilige code in legitieme processen te injecteren, verbergt het zijn command shell-activiteiten, waardoor het naadloos samensmelt met normale systeemfuncties en inspanningen om zijn gedrag te detecteren en analyseren, compliceert.

Trending

Meest bekeken

Bezig met laden...