EAGERBEE Malware
Uma versão atualizada da estrutura de malware EAGERBEE foi observada tendo como alvo os Provedores de Serviços de Internet (ISPs) e organizações governamentais no Oriente Médio.
Esta última iteração, também conhecida como Thumtais, inclui uma gama de componentes que permitem que ele implante payloads adicionais, explore sistemas de arquivos e execute shells de comando. Essas melhorias marcam um avanço significativo em suas capacidades.
Índice
Design Modular e Categorias Funcionais
O backdoor depende de plugins-chave, que podem ser agrupados com base em suas funções: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing e Service Management. Pesquisadores de segurança cibernética vincularam o EAGERBEE com confiança média a um grupo de ameaças conhecido como CoughingDown.
Inicialmente, o EAGERBEE estava associado a um grupo de ciberespionagem patrocinado pelo estado, designado REF5961. Este backdoor, embora tecnicamente simples, suporta canais de comando e controle de avanço e reverso com criptografia SSL. Ele é projetado principalmente para reconhecimento de sistema e para facilitar a entrega de executáveis adicionais para atividades pós-exploração.
Operações de Espionagem e Conexões com o Cluster Alpha
Investigações posteriores revelaram que uma versão modificada do EAGERBEE foi implantada em campanhas de espionagem cibernética atribuídas a um ator de ameaça afiliado ao estado chinês conhecido como Cluster Alpha. Esta operação, codinome Crimson Palace, tinha como objetivo extrair inteligência política e militar sensível de uma agência governamental de alto perfil no Sudeste Asiático.
O Cluster Alpha exibe sobreposições com outros grupos de ciberespionagem, incluindo BackdoorDiplomacy , REF5961, Worok e TA428. Notavelmente, o BackdoorDiplomacy compartilha características táticas com o CloudComputating (também chamado de Faking Dragon), uma entidade de língua chinesa vinculada a uma estrutura de malware modular conhecida como QSC. Essa estrutura foi observada em ataques cibernéticos contra o setor de telecomunicações no sul da Ásia.
Capacidades de Execução na Memória e Stealth
O QSC segue uma arquitetura modular na qual apenas o carregador inicial é armazenado no disco, enquanto os componentes principais e de rede permanecem na memória. Essa abordagem permite que os invasores carreguem plugins com base em seus objetivos dinamicamente.
Nas intrusões mais recentes do EAGERBEE, um DLL injetor executa o módulo backdoor. Uma vez ativado, o backdoor reúne detalhes do sistema e os transmite para um servidor remoto por meio de um soquete TCP. O método específico usado para obter acesso inicial nesses incidentes permanece obscuro.
O servidor remoto responde implantando o Plugin Orchestrator, que recupera e relata detalhes do sistema, como nomes NetBIOS de domínio, estatísticas de uso de memória e configurações de localidade do sistema. Ele também coleta dados sobre processos em execução enquanto aguarda instruções adicionais, incluindo:
- Injetando plugins na memória
- Descarregando plugins específicos ou limpando todos da lista
- Verificando se um plugin está ativo
Cada plugin executa comandos do orquestrador, gerenciando arquivos, controlando processos, conectividade remota, supervisão de serviços do sistema e monitoramento de conexão de rede.
Explorando Vulnerabilidades e Ameaças Persistentes
Pesquisadores identificaram infecções pelo EAGERBEE em várias organizações no Leste Asiático, com pelo menos duas violações vinculadas à vulnerabilidade ProxyLogon (CVE-2021-26855). Nesses casos, os invasores implantaram shells da web para executar comandos em servidores comprometidos, levando, por fim, à instalação do backdoor.
O EAGERBEE opera principalmente como uma estrutura residente na memória, um design que melhora significativamente sua capacidade de evitar a detecção por ferramentas de segurança convencionais. Ao injetar código inseguro em processos legítimos, ele oculta suas atividades de shell de comando, combinando-se perfeitamente com funções normais do sistema e complicando os esforços para detectar e analisar seu comportamento.