EAGERBEE Malvér
Bola pozorovaná nová aktualizovaná verzia malvérového rámca EAGERBEE zameraná na poskytovateľov internetových služieb (ISP) a vládne organizácie na Blízkom východe.
Táto najnovšia iterácia, tiež známa ako Thumtais, zahŕňa celý rad komponentov, ktoré jej umožňujú nasadiť ďalšie užitočné zaťaženie, skúmať súborové systémy a vykonávať príkazové shelly. Tieto vylepšenia znamenajú významný pokrok v jeho schopnostiach.
Obsah
Modulárny dizajn a funkčné kategórie
Zadné vrátka sa spoliehajú na kľúčové doplnky, ktoré možno zoskupiť podľa ich funkcií: Plugin Orchestrator, Manipulácia so súborovým systémom, Správca vzdialeného prístupu, Prieskum procesov, Výpis sieťových pripojení a Správa služieb. Výskumníci v oblasti kybernetickej bezpečnosti spojili EAGERBEE so strednou istotou so skupinou hrozieb známou ako CoughingDown.
Spočiatku bola EAGERBEE spojená so štátom podporovanou kyberšpionážnou skupinou označenou ako REF5961. Toto zadné vrátka, aj keď je technicky jednoduché, podporuje priame aj spätné kanály príkazov a ovládania so šifrovaním SSL. Je primárne určený na prieskum systému a na uľahčenie dodania ďalších spustiteľných súborov pre činnosti po exploatácii.
Špionážne operácie a spojenia s klastrom Alpha
Neskoršie vyšetrovanie odhalilo, že upravená verzia EAGERBEE bola nasadená v kyberšpionážnych kampaniach pripisovaných čínskemu štátnemu aktérovi hrozby známemu ako Cluster Alpha. Táto operácia s kódovým označením Crimson Palace mala za cieľ získať citlivé politické a vojenské spravodajstvo z vysoko postavenej vládnej agentúry v juhovýchodnej Ázii.
Cluster Alpha vykazuje presahy s inými kyberšpionážnymi skupinami, vrátane BackdoorDiplomacy , REF5961, Worok a TA428. BackdoorDiplomacy zdieľa taktické vlastnosti s CloudComputating (tiež nazývaný Faking Dragon), čínsky hovoriacou entitou prepojenou s modulárnym malvérovým rámcom známym ako QSC. Tento rámec bol pozorovaný pri kybernetických útokoch proti telekomunikačnému sektoru v južnej Ázii.
Spustenie v pamäti a možnosti utajenia
QSC sleduje modulárnu architektúru, v ktorej je na disku uložený iba počiatočný zavádzač, zatiaľ čo jadro a sieťové komponenty zostávajú v pamäti. Tento prístup umožňuje útočníkom dynamicky načítať doplnky na základe ich cieľov.
Pri najnovších prienikoch EAGERBEE spustí modul backdoor DLL injektora. Po aktivácii backdoor zhromažďuje podrobnosti o systéme a prenáša ich na vzdialený server cez TCP socket. Špecifická metóda použitá na získanie počiatočného prístupu pri týchto incidentoch zostáva nejasná.
Vzdialený server zareaguje nasadením Plugin Orchestrator, ktorý získa a nahlási podrobnosti o systéme, ako sú názvy domén NetBIOS, štatistiky využitia pamäte a nastavenia miestneho nastavenia systému. Zhromažďuje tiež údaje o spustených procesoch počas čakania na ďalšie pokyny, vrátane:
- Vkladanie pluginov do pamäte
- Uvoľnenie konkrétnych doplnkov alebo vymazanie všetkých zo zoznamu
- Overenie, či je doplnok aktívny
Každý plugin vykonáva príkazy z orchestrátora, riadi správu súborov, riadenie procesov, vzdialené pripojenie, dohľad nad systémovými službami a monitorovanie sieťového pripojenia.
Využívanie slabých miest a pretrvávajúcich hrozieb
Výskumníci identifikovali infekcie EAGERBEE vo viacerých organizáciách vo východnej Ázii s najmenej dvoma porušeniami spojenými so zraniteľnosťou ProxyLogon (CVE-2021-26855). V týchto prípadoch útočníci nasadili webové shelly na vykonávanie príkazov na napadnutých serveroch, čo nakoniec viedlo k inštalácii zadných vrátok.
EAGERBEE funguje primárne ako pamäťovo-rezidentný rámec, čo je dizajn, ktorý výrazne zlepšuje jeho schopnosť vyhnúť sa detekcii konvenčnými bezpečnostnými nástrojmi. Vložením nebezpečného kódu do legitímnych procesov skrýva svoje aktivity príkazového shellu, hladko sa prelína s normálnymi systémovými funkciami a komplikuje úsilie o detekciu a analýzu jeho správania.