Oprogramowanie złośliwe EAGERBEE
Zaobserwowano, że nowa, zaktualizowana wersja złośliwego oprogramowania EAGERBEE atakuje dostawców usług internetowych (ISP) i organizacje rządowe na Bliskim Wschodzie.
Ta najnowsza iteracja, znana również jako Thumtais, obejmuje szereg komponentów, które umożliwiają wdrażanie dodatkowych ładunków, eksplorację systemów plików i wykonywanie powłok poleceń. Te ulepszenia oznaczają znaczący postęp w jego możliwościach.
Spis treści
Projekt modułowy i kategorie funkcjonalne
Backdoor opiera się na kluczowych wtyczkach, które można grupować na podstawie ich funkcji: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing i Service Management. Badacze cyberbezpieczeństwa powiązali EAGERBEE ze średnim zaufaniem z grupą zagrożeń znaną jako CoughingDown.
Początkowo EAGERBEE był powiązany z państwową grupą cybernetycznego szpiegostwa oznaczoną jako REF5961. Ten backdoor, choć technicznie prosty, obsługuje zarówno kanały poleceń i kontroli do przodu, jak i do tyłu z szyfrowaniem SSL. Jest on przeznaczony głównie do rozpoznania systemu i ułatwiania dostarczania dodatkowych plików wykonywalnych do działań poeksploatacyjnych.
Operacje szpiegowskie i powiązania z klastrem Alpha
Późniejsze dochodzenia wykazały, że zmodyfikowana wersja EAGERBEE została wdrożona w kampaniach cybernetycznego szpiegostwa przypisywanych chińskiemu państwowemu aktorowi zagrożeń znanemu jako Cluster Alpha. Operacja ta o kryptonimie Crimson Palace miała na celu wydobycie poufnych informacji politycznych i wojskowych z ważnej agencji rządowej w Azji Południowo-Wschodniej.
Cluster Alpha wykazuje nakładanie się z innymi grupami cybernetycznego szpiegostwa, w tym BackdoorDiplomacy , REF5961, Worok i TA428. Co godne uwagi, BackdoorDiplomacy dzieli cechy taktyczne z CloudComputating (nazywanym również Faking Dragon), chińskojęzycznym podmiotem powiązanym z modułowym frameworkiem złośliwego oprogramowania znanym jako QSC. Ten framework został zaobserwowany w cyberatakach na sektor telekomunikacyjny w Azji Południowej.
Wykonywanie w pamięci i możliwości ukryte
QSC stosuje architekturę modułową, w której tylko początkowy program ładujący jest przechowywany na dysku, podczas gdy komponenty rdzenia i sieci pozostają w pamięci. To podejście pozwala atakującym ładować wtyczki na podstawie ich celów dynamicznie.
W najnowszych włamaniach EAGERBEE biblioteka DLL injection wykonuje moduł backdoor. Po aktywacji backdoor zbiera szczegóły systemu i przesyła je do zdalnego serwera za pośrednictwem gniazda TCP. Konkretna metoda używana do uzyskania początkowego dostępu w tych incydentach pozostaje niejasna.
Zdalny serwer odpowiada, wdrażając Plugin Orchestrator, który pobiera i raportuje szczegóły systemu, takie jak nazwy domen NetBIOS, statystyki wykorzystania pamięci i ustawienia regionalne systemu. Gromadzi również dane o uruchomionych procesach podczas oczekiwania na dalsze instrukcje, w tym:
- Wstrzykiwanie wtyczek do pamięci
- Usuwanie określonych wtyczek lub usuwanie wszystkich z listy
- Sprawdzanie, czy wtyczka jest aktywna
Każda wtyczka wykonuje polecenia z orkiestratora, obsługując zarządzanie plikami, kontrolę procesów, łączność zdalną, nadzór nad usługami systemowymi i monitorowanie połączeń sieciowych.
Wykorzystywanie luk i trwałych zagrożeń
Badacze zidentyfikowali infekcje EAGERBEE w wielu organizacjach w Azji Wschodniej, przy czym co najmniej dwa naruszenia były powiązane z luką ProxyLogon (CVE-2021-26855). W tych przypadkach atakujący wdrażali powłoki internetowe w celu wykonywania poleceń na zainfekowanych serwerach, co ostatecznie prowadziło do instalacji tylnego wejścia.
EAGERBEE działa przede wszystkim jako framework rezydujący w pamięci, projekt, który znacznie zwiększa jego zdolność do unikania wykrycia przez konwencjonalne narzędzia bezpieczeństwa. Wstrzykując niebezpieczny kod do legalnych procesów, ukrywa swoje działania powłoki poleceń, płynnie łącząc się z normalnymi funkcjami systemu i komplikując wysiłki w celu wykrycia i analizy jego zachowania.