Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie złośliwe EAGERBEE

Oprogramowanie złośliwe EAGERBEE

Zaobserwowano, że nowa, zaktualizowana wersja złośliwego oprogramowania EAGERBEE atakuje dostawców usług internetowych (ISP) i organizacje rządowe na Bliskim Wschodzie.

Ta najnowsza iteracja, znana również jako Thumtais, obejmuje szereg komponentów, które umożliwiają wdrażanie dodatkowych ładunków, eksplorację systemów plików i wykonywanie powłok poleceń. Te ulepszenia oznaczają znaczący postęp w jego możliwościach.

Projekt modułowy i kategorie funkcjonalne

Backdoor opiera się na kluczowych wtyczkach, które można grupować na podstawie ich funkcji: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing i Service Management. Badacze cyberbezpieczeństwa powiązali EAGERBEE ze średnim zaufaniem z grupą zagrożeń znaną jako CoughingDown.

Początkowo EAGERBEE był powiązany z państwową grupą cybernetycznego szpiegostwa oznaczoną jako REF5961. Ten backdoor, choć technicznie prosty, obsługuje zarówno kanały poleceń i kontroli do przodu, jak i do tyłu z szyfrowaniem SSL. Jest on przeznaczony głównie do rozpoznania systemu i ułatwiania dostarczania dodatkowych plików wykonywalnych do działań poeksploatacyjnych.

Operacje szpiegowskie i powiązania z klastrem Alpha

Późniejsze dochodzenia wykazały, że zmodyfikowana wersja EAGERBEE została wdrożona w kampaniach cybernetycznego szpiegostwa przypisywanych chińskiemu państwowemu aktorowi zagrożeń znanemu jako Cluster Alpha. Operacja ta o kryptonimie Crimson Palace miała na celu wydobycie poufnych informacji politycznych i wojskowych z ważnej agencji rządowej w Azji Południowo-Wschodniej.

Cluster Alpha wykazuje nakładanie się z innymi grupami cybernetycznego szpiegostwa, w tym BackdoorDiplomacy , REF5961, Worok i TA428. Co godne uwagi, BackdoorDiplomacy dzieli cechy taktyczne z CloudComputating (nazywanym również Faking Dragon), chińskojęzycznym podmiotem powiązanym z modułowym frameworkiem złośliwego oprogramowania znanym jako QSC. Ten framework został zaobserwowany w cyberatakach na sektor telekomunikacyjny w Azji Południowej.

Wykonywanie w pamięci i możliwości ukryte

QSC stosuje architekturę modułową, w której tylko początkowy program ładujący jest przechowywany na dysku, podczas gdy komponenty rdzenia i sieci pozostają w pamięci. To podejście pozwala atakującym ładować wtyczki na podstawie ich celów dynamicznie.

W najnowszych włamaniach EAGERBEE biblioteka DLL injection wykonuje moduł backdoor. Po aktywacji backdoor zbiera szczegóły systemu i przesyła je do zdalnego serwera za pośrednictwem gniazda TCP. Konkretna metoda używana do uzyskania początkowego dostępu w tych incydentach pozostaje niejasna.

Zdalny serwer odpowiada, wdrażając Plugin Orchestrator, który pobiera i raportuje szczegóły systemu, takie jak nazwy domen NetBIOS, statystyki wykorzystania pamięci i ustawienia regionalne systemu. Gromadzi również dane o uruchomionych procesach podczas oczekiwania na dalsze instrukcje, w tym:

  • Wstrzykiwanie wtyczek do pamięci
  • Usuwanie określonych wtyczek lub usuwanie wszystkich z listy
  • Sprawdzanie, czy wtyczka jest aktywna

Każda wtyczka wykonuje polecenia z orkiestratora, obsługując zarządzanie plikami, kontrolę procesów, łączność zdalną, nadzór nad usługami systemowymi i monitorowanie połączeń sieciowych.

Wykorzystywanie luk i trwałych zagrożeń

Badacze zidentyfikowali infekcje EAGERBEE w wielu organizacjach w Azji Wschodniej, przy czym co najmniej dwa naruszenia były powiązane z luką ProxyLogon (CVE-2021-26855). W tych przypadkach atakujący wdrażali powłoki internetowe w celu wykonywania poleceń na zainfekowanych serwerach, co ostatecznie prowadziło do instalacji tylnego wejścia.

EAGERBEE działa przede wszystkim jako framework rezydujący w pamięci, projekt, który znacznie zwiększa jego zdolność do unikania wykrycia przez konwencjonalne narzędzia bezpieczeństwa. Wstrzykując niebezpieczny kod do legalnych procesów, ukrywa swoje działania powłoki poleceń, płynnie łącząc się z normalnymi funkcjami systemu i komplikując wysiłki w celu wykrycia i analizy jego zachowania.

Popularne

Najczęściej oglądane

Ładowanie...