EAGERBEE Malware
O versiune recent actualizată a cadrului malware EAGERBEE a fost observată care vizează furnizorii de servicii de internet (ISP) și organizațiile guvernamentale din Orientul Mijlociu.
Această ultimă iterație, cunoscută și sub numele de Thumtais, include o serie de componente care îi permit să implementeze încărcături suplimentare, să exploreze sistemele de fișiere și să execute shell-uri de comandă. Aceste îmbunătățiri marchează un progres semnificativ în capacitățile sale.
Cuprins
Design modular și categorii funcționale
Ușa din spate se bazează pe plugin-uri cheie, care pot fi grupate în funcție de funcțiile lor: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing and Service Management. Cercetătorii în securitate cibernetică au legat EAGERBEE cu o încredere medie de un grup de amenințări cunoscut sub numele de CoughingDown.
Inițial, EAGERBEE a fost asociat cu un grup de spionaj cibernetic sponsorizat de stat, desemnat REF5961. Această ușă din spate, deși simplă din punct de vedere tehnic, acceptă atât canalele de comandă și control înainte și inversă cu criptare SSL. Este conceput în primul rând pentru recunoașterea sistemului și pentru a facilita livrarea de executabile suplimentare pentru activitățile post-exploatare.
Operațiuni de spionaj și conexiuni la Cluster Alpha
Investigațiile ulterioare au dezvăluit că o versiune modificată a EAGERBEE a fost implementată în campaniile de spionaj cibernetic atribuite unui actor de amenințări afiliat statului chinez, cunoscut sub numele de Cluster Alpha. Această operațiune, numită de cod Crimson Palace, a avut ca scop extragerea informațiilor politice și militare sensibile de la o agenție guvernamentală de profil înalt din Asia de Sud-Est.
Cluster Alpha prezintă suprapuneri cu alte grupuri de spionaj cibernetic, inclusiv BackdoorDiplomacy , REF5961, Worok și TA428. În special, BackdoorDiplomacy împărtășește caracteristici tactice cu CloudComputing (numită și Faking Dragon), o entitate vorbitoare de limbă chineză, legată de un cadru de malware modular cunoscut sub numele de QSC. Acest cadru a fost observat în atacurile cibernetice împotriva sectorului telecomunicațiilor din Asia de Sud.
Capacități de execuție în memorie și stealth
QSC urmează o arhitectură modulară în care doar încărcătorul inițial este stocat pe disc, în timp ce componentele de bază și de rețea rămân în memorie. Această abordare permite atacatorilor să încarce în mod dinamic pluginuri în funcție de obiectivele lor.
În cele mai recente intruziuni EAGERBEE, un DLL injector execută modulul backdoor. Odată activată, ușa din spate adună detaliile sistemului și le transmite către un server la distanță printr-un socket TCP. Metoda specifică folosită pentru a obține accesul inițial în aceste incidente rămâne neclară.
Serverul de la distanță răspunde prin implementarea Plugin Orchestrator, care preia și raportează detaliile sistemului, cum ar fi numele NetBIOS de domeniu, statisticile de utilizare a memoriei și setările locale ale sistemului. De asemenea, colectează date despre procesele care rulează în așteptarea unor instrucțiuni suplimentare, inclusiv:
- Injectarea pluginurilor în memorie
- Descărcarea anumitor pluginuri sau ștergerea tuturor din listă
- Verificarea dacă un plugin este activ
Fiecare plugin execută comenzi de la orchestrator, gestionând gestionarea fișierelor, controlul proceselor, conectivitatea de la distanță, supravegherea serviciului de sistem și monitorizarea conexiunii la rețea.
Exploatarea vulnerabilităților și amenințărilor persistente
Cercetătorii au identificat infecții EAGERBEE în mai multe organizații din Asia de Est, cu cel puțin două încălcări legate de vulnerabilitatea ProxyLogon (CVE-2021-26855). În aceste cazuri, atacatorii au implementat shell-uri web pentru a executa comenzi pe servere compromise, ducând în cele din urmă la instalarea ușii din spate.
EAGERBEE funcționează în primul rând ca un cadru rezident în memorie, un design care își îmbunătățește semnificativ capacitatea de a evita detectarea de către instrumentele de securitate convenționale. Prin injectarea de cod nesigur în procesele legitime, își ascunde activitățile shell-ului de comandă, îmbinându-se perfect cu funcțiile normale ale sistemului și complicând eforturile de a detecta și analiza comportamentul acestuia.