EAGERBEE ਮਾਲਵੇਅਰ
EAGERBEE ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਦਾ ਇੱਕ ਨਵਾਂ ਅਪਡੇਟ ਕੀਤਾ ਸੰਸਕਰਣ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਇੰਟਰਨੈਟ ਸੇਵਾ ਪ੍ਰਦਾਤਾਵਾਂ (ISPs) ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਦੇਖਿਆ ਗਿਆ ਹੈ।
ਇਹ ਨਵੀਨਤਮ ਦੁਹਰਾਓ, ਜਿਸ ਨੂੰ ਥੁਮਟੇਸ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਵਿੱਚ ਕਈ ਭਾਗ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ ਜੋ ਇਸਨੂੰ ਵਾਧੂ ਪੇਲੋਡ ਲਗਾਉਣ, ਫਾਈਲ ਸਿਸਟਮਾਂ ਦੀ ਪੜਚੋਲ ਕਰਨ, ਅਤੇ ਕਮਾਂਡ ਸ਼ੈੱਲ ਚਲਾਉਣ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ। ਇਹ ਸੁਧਾਰ ਇਸ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਰੱਕੀ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਮਾਡਯੂਲਰ ਡਿਜ਼ਾਈਨ ਅਤੇ ਕਾਰਜਸ਼ੀਲ ਸ਼੍ਰੇਣੀਆਂ
ਬੈਕਡੋਰ ਕੁੰਜੀ ਪਲੱਗਇਨਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਫੰਕਸ਼ਨਾਂ ਦੇ ਆਧਾਰ 'ਤੇ ਗਰੁੱਪ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ: ਪਲੱਗਇਨ ਆਰਕੈਸਟਰੇਟਰ, ਫਾਈਲ ਸਿਸਟਮ ਮੈਨੀਪੁਲੇਸ਼ਨ, ਰਿਮੋਟ ਐਕਸੈਸ ਮੈਨੇਜਰ, ਪ੍ਰਕਿਰਿਆ ਖੋਜ, ਨੈੱਟਵਰਕ ਕਨੈਕਸ਼ਨ ਸੂਚੀ ਅਤੇ ਸੇਵਾ ਪ੍ਰਬੰਧਨ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ EAGERBEE ਨੂੰ ਮੱਧਮ ਭਰੋਸੇ ਨਾਲ ਇੱਕ ਖਤਰੇ ਵਾਲੇ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਹੈ ਜਿਸਨੂੰ CoughingDown ਕਿਹਾ ਜਾਂਦਾ ਹੈ।
ਸ਼ੁਰੂ ਵਿੱਚ, EAGERBEE ਇੱਕ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮੂਹ ਨਾਮਿਤ REF5961 ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਸੀ। ਇਹ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ, ਭਾਵੇਂ ਤਕਨੀਕੀ ਤੌਰ 'ਤੇ ਸਿੱਧਾ ਹੈ, SSL ਇਨਕ੍ਰਿਪਸ਼ਨ ਨਾਲ ਅੱਗੇ ਅਤੇ ਉਲਟ ਕਮਾਂਡ-ਅਤੇ-ਕੰਟਰੋਲ ਚੈਨਲਾਂ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਿਸਟਮ ਦੀ ਖੋਜ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਲਈ ਵਾਧੂ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਦੀ ਸਪੁਰਦਗੀ ਦੀ ਸਹੂਲਤ ਲਈ ਹੈ।
ਜਾਸੂਸੀ ਕਾਰਵਾਈਆਂ ਅਤੇ ਕਲੱਸਟਰ ਅਲਫ਼ਾ ਨਾਲ ਕਨੈਕਸ਼ਨ
ਬਾਅਦ ਵਿੱਚ ਜਾਂਚਾਂ ਤੋਂ ਪਤਾ ਚੱਲਿਆ ਕਿ EAGERBEE ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਸਾਈਬਰ ਜਾਸੂਸੀ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ ਜਿਸਦਾ ਕਾਰਨ ਇੱਕ ਚੀਨੀ ਰਾਜ-ਸਬੰਧਤ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨੂੰ ਕਲੱਸਟਰ ਅਲਫ਼ਾ ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਓਪਰੇਸ਼ਨ ਦਾ ਕੋਡਨੇਮ ਕ੍ਰਿਮਸਨ ਪੈਲੇਸ ਹੈ, ਜਿਸਦਾ ਉਦੇਸ਼ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆ ਵਿੱਚ ਇੱਕ ਉੱਚ-ਪ੍ਰੋਫਾਈਲ ਸਰਕਾਰੀ ਏਜੰਸੀ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਰਾਜਨੀਤਿਕ ਅਤੇ ਫੌਜੀ ਖੁਫੀਆ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨਾ ਹੈ।
ਕਲੱਸਟਰ ਅਲਫ਼ਾ ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ , REF5961, Worok ਅਤੇ TA428 ਸਮੇਤ ਹੋਰ ਸਾਈਬਰ-ਜਾਸੂਸੀ ਸਮੂਹਾਂ ਦੇ ਨਾਲ ਓਵਰਲੈਪ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਬੈਕਡੋਰ ਡਿਪਲੋਮੇਸੀ ਕਲਾਉਡ ਕੰਪਿਊਟਿੰਗ (ਜਿਸ ਨੂੰ ਫੇਕਿੰਗ ਡਰੈਗਨ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ) ਦੇ ਨਾਲ ਰਣਨੀਤਕ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਸਾਂਝਾ ਕਰਦਾ ਹੈ, ਇੱਕ ਚੀਨੀ ਬੋਲਣ ਵਾਲੀ ਇਕਾਈ ਜੋ ਕਿ QSC ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਮਾਡਿਊਲਰ ਮਾਲਵੇਅਰ ਫਰੇਮਵਰਕ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ। ਦੱਖਣੀ ਏਸ਼ੀਆ ਵਿੱਚ ਦੂਰਸੰਚਾਰ ਖੇਤਰ ਦੇ ਖਿਲਾਫ ਸਾਈਬਰ ਹਮਲਿਆਂ ਵਿੱਚ ਇਹ ਢਾਂਚਾ ਦੇਖਿਆ ਗਿਆ ਹੈ।
ਇਨ-ਮੈਮੋਰੀ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਅਤੇ ਸਟੀਲਥ ਸਮਰੱਥਾਵਾਂ
QSC ਇੱਕ ਮਾਡਿਊਲਰ ਆਰਕੀਟੈਕਚਰ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਸਿਰਫ ਸ਼ੁਰੂਆਤੀ ਲੋਡਰ ਨੂੰ ਡਿਸਕ 'ਤੇ ਸਟੋਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਦੋਂ ਕਿ ਕੋਰ ਅਤੇ ਨੈੱਟਵਰਕ ਕੰਪੋਨੈਂਟ ਮੈਮੋਰੀ ਵਿੱਚ ਰਹਿੰਦੇ ਹਨ। ਇਹ ਪਹੁੰਚ ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਉਦੇਸ਼ਾਂ ਦੇ ਅਧਾਰ ਤੇ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਪਲੱਗਇਨ ਲੋਡ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਸਭ ਤੋਂ ਤਾਜ਼ਾ EAGERBEE ਘੁਸਪੈਠ ਵਿੱਚ, ਇੱਕ ਇੰਜੈਕਟਰ DLL ਬੈਕਡੋਰ ਮੋਡੀਊਲ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਐਕਟੀਵੇਟ ਹੋਣ 'ਤੇ, ਬੈਕਡੋਰ ਸਿਸਟਮ ਦੇ ਵੇਰਵਿਆਂ ਨੂੰ ਇਕੱਠਾ ਕਰਦਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਇੱਕ TCP ਸਾਕਟ ਦੁਆਰਾ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ 'ਤੇ ਪ੍ਰਸਾਰਿਤ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਘਟਨਾਵਾਂ ਵਿੱਚ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਖਾਸ ਤਰੀਕਾ ਅਸਪਸ਼ਟ ਰਹਿੰਦਾ ਹੈ।
ਰਿਮੋਟ ਸਰਵਰ ਪਲੱਗਇਨ ਆਰਕੈਸਟਰੇਟਰ ਨੂੰ ਤੈਨਾਤ ਕਰਕੇ ਜਵਾਬ ਦਿੰਦਾ ਹੈ, ਜੋ ਸਿਸਟਮ ਵੇਰਵਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਡੋਮੇਨ NetBIOS ਨਾਮ, ਮੈਮੋਰੀ ਵਰਤੋਂ ਅੰਕੜੇ, ਅਤੇ ਸਿਸਟਮ ਲੋਕੇਲ ਸੈਟਿੰਗਾਂ। ਇਹ ਹੋਰ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦੇ ਹੋਏ ਚੱਲ ਰਹੀਆਂ ਪ੍ਰਕਿਰਿਆਵਾਂ 'ਤੇ ਡਾਟਾ ਵੀ ਇਕੱਠਾ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਮੈਮੋਰੀ ਵਿੱਚ ਪਲੱਗਇਨ ਇੰਜੈਕਟ ਕਰਨਾ
- ਖਾਸ ਪਲੱਗਇਨਾਂ ਨੂੰ ਅਨਲੋਡ ਕਰਨਾ ਜਾਂ ਸੂਚੀ ਵਿੱਚੋਂ ਸਭ ਨੂੰ ਸਾਫ਼ ਕਰਨਾ
- ਜਾਂਚ ਕਰ ਰਿਹਾ ਹੈ ਕਿ ਕੀ ਇੱਕ ਪਲੱਗਇਨ ਕਿਰਿਆਸ਼ੀਲ ਹੈ
ਹਰੇਕ ਪਲੱਗਇਨ ਆਰਕੈਸਟਰੇਟਰ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦੀ ਹੈ, ਫਾਈਲ ਪ੍ਰਬੰਧਨ, ਪ੍ਰਕਿਰਿਆ ਨਿਯੰਤਰਣ, ਰਿਮੋਟ ਕਨੈਕਟੀਵਿਟੀ, ਸਿਸਟਮ ਸੇਵਾ ਨਿਗਰਾਨੀ, ਅਤੇ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨ ਨਿਗਰਾਨੀ.
ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਲਗਾਤਾਰ ਧਮਕੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨਾ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪੂਰਬੀ ਏਸ਼ੀਆ ਵਿੱਚ ਕਈ ਸੰਸਥਾਵਾਂ ਵਿੱਚ EAGERBEE ਲਾਗਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸ ਵਿੱਚ ਘੱਟੋ-ਘੱਟ ਦੋ ਉਲੰਘਣਾਵਾਂ ProxyLogon ਕਮਜ਼ੋਰੀ (CVE-2021-26855) ਨਾਲ ਜੁੜੀਆਂ ਹੋਈਆਂ ਹਨ। ਇਹਨਾਂ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ 'ਤੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਵੈੱਬ ਸ਼ੈੱਲਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ, ਅੰਤ ਵਿੱਚ ਪਿਛਲੇ ਦਰਵਾਜ਼ੇ ਦੀ ਸਥਾਪਨਾ ਵੱਲ ਅਗਵਾਈ ਕੀਤੀ।
EAGERBEE ਮੁੱਖ ਤੌਰ 'ਤੇ ਇੱਕ ਮੈਮੋਰੀ-ਰੈਜ਼ੀਡੈਂਟ ਫਰੇਮਵਰਕ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ, ਇੱਕ ਡਿਜ਼ਾਈਨ ਜੋ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਸਾਧਨਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਆਪਣੀ ਯੋਗਤਾ ਨੂੰ ਮਹੱਤਵਪੂਰਨ ਤੌਰ 'ਤੇ ਵਧਾਉਂਦਾ ਹੈ। ਅਸੁਰੱਖਿਅਤ ਕੋਡ ਨੂੰ ਜਾਇਜ਼ ਪ੍ਰਕਿਰਿਆਵਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕਰਕੇ, ਇਹ ਆਪਣੀਆਂ ਕਮਾਂਡ ਸ਼ੈੱਲ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਛੁਪਾਉਂਦਾ ਹੈ, ਆਮ ਸਿਸਟਮ ਫੰਕਸ਼ਨਾਂ ਨਾਲ ਸਹਿਜੇ ਹੀ ਮਿਲਾਉਂਦਾ ਹੈ ਅਤੇ ਇਸਦੇ ਵਿਵਹਾਰ ਨੂੰ ਖੋਜਣ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਗੁੰਝਲਦਾਰ ਬਣਾਉਂਦਾ ਹੈ।
