Вредоносное ПО EAGERBEE
Недавно обновленная версия вредоносного фреймворка EAGERBEE была замечена как нацеленная на интернет-провайдеров (ISP) и правительственные организации на Ближнем Востоке.
Эта последняя итерация, также известная как Thumtais, включает ряд компонентов, которые позволяют ей развертывать дополнительные полезные нагрузки, исследовать файловые системы и выполнять командные оболочки. Эти улучшения знаменуют собой значительный прогресс в ее возможностях.
Оглавление
Модульная конструкция и функциональные категории
Бэкдор использует ключевые плагины, которые можно сгруппировать по их функциям: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing и Service Management. Исследователи кибербезопасности со средней степенью уверенности связывают EAGERBEE с группой угроз, известной как CoughingDown.
Первоначально EAGERBEE был связан с спонсируемой государством кибершпионской группой, обозначенной как REF5961. Этот бэкдор, хотя и технически простой, поддерживает как прямые, так и обратные каналы управления и контроля с шифрованием SSL. Он в первую очередь предназначен для системной разведки и облегчения доставки дополнительных исполняемых файлов для постэксплуатационных действий.
Шпионские операции и связи с кластером Альфа
Более поздние расследования показали, что модифицированная версия EAGERBEE была развернута в кампаниях кибершпионажа, приписываемых китайскому государственному субъекту угроз, известному как Cluster Alpha. Эта операция под кодовым названием Crimson Palace была направлена на извлечение конфиденциальной политической и военной разведывательной информации из высокопоставленного правительственного агентства в Юго-Восточной Азии.
Cluster Alpha демонстрирует совпадения с другими группами кибершпионажа, включая BackdoorDiplomacy , REF5961, Worok и TA428. Примечательно, что BackdoorDiplomacy разделяет тактические характеристики с CloudComputating (также называемой Faking Dragon), китайскоязычной сущностью, связанной с модульной вредоносной структурой, известной как QSC. Эта структура была замечена в кибератаках на телекоммуникационный сектор в Южной Азии.
Выполнение в памяти и скрытые возможности
QSC следует модульной архитектуре, в которой только начальный загрузчик хранится на диске, а основные и сетевые компоненты остаются в памяти. Такой подход позволяет злоумышленникам динамически загружать плагины в зависимости от их целей.
В последних вторжениях EAGERBEE инжекторная DLL запускает модуль бэкдора. После активации бэкдор собирает системные данные и передает их на удаленный сервер через сокет TCP. Конкретный метод, используемый для получения первоначального доступа в этих инцидентах, остается неясным.
Удаленный сервер отвечает, развертывая Plugin Orchestrator, который извлекает и сообщает системные данные, такие как имена NetBIOS домена, статистику использования памяти и настройки локали системы. Он также собирает данные о запущенных процессах, ожидая дальнейших инструкций, включая:
- Внедрение плагинов в память
- Выгрузка определенных плагинов или очистка всех из списка
- Проверка активности плагина
Каждый плагин выполняет команды оркестратора, обеспечивая управление файлами, контроль процессов, удаленное подключение, надзор за системными службами и мониторинг сетевых подключений.
Использование уязвимостей и постоянных угроз
Исследователи выявили заражения EAGERBEE в нескольких организациях в Восточной Азии, причем по крайней мере два нарушения были связаны с уязвимостью ProxyLogon (CVE-2021-26855). В этих случаях злоумышленники развертывали веб-оболочки для выполнения команд на скомпрометированных серверах, что в конечном итоге приводило к установке бэкдора.
EAGERBEE работает в первую очередь как резидентная в памяти структура, дизайн, который значительно повышает его способность избегать обнаружения обычными средствами безопасности. Внедряя небезопасный код в легитимные процессы, он скрывает свою деятельность командной оболочки, плавно смешиваясь с обычными системными функциями и усложняя усилия по обнаружению и анализу его поведения.