EAGERBEE Zlonamerna programska oprema
Opazili so, da na novo posodobljena različica okvira zlonamerne programske opreme EAGERBEE cilja na ponudnike internetnih storitev (ISP) in vladne organizacije na Bližnjem vzhodu.
Ta najnovejša ponovitev, znana tudi kot Thumtais, vključuje vrsto komponent, ki ji omogočajo uvajanje dodatnih uporabnih obremenitev, raziskovanje datotečnih sistemov in izvajanje ukaznih lupin. Te izboljšave pomenijo pomemben napredek v njegovih zmogljivostih.
Kazalo
Modularna zasnova in funkcionalne kategorije
Zakulisna vrata se zanašajo na ključne vtičnike, ki jih je mogoče razvrstiti v skupine glede na njihove funkcije: Plugin Orchestrator, Manipulacija datotečnega sistema, Remote Access Manager, Process Exploration, Network Connection Listing in Service Management. Raziskovalci kibernetske varnosti so EAGERBEE s srednjo zanesljivostjo povezali z groženjsko skupino, znano kot CoughingDown.
Sprva je bil EAGERBEE povezan z državno sponzorirano kibernetsko vohunsko skupino z oznako REF5961. Ta zadnja vrata, čeprav so tehnično enostavna, podpirajo tako smerne kot povratne kanale za ukaze in nadzor s šifriranjem SSL. Zasnovan je predvsem za izvidovanje sistema in olajšanje dostave dodatnih izvršljivih datotek za dejavnosti po izkoriščanju.
Vohunske operacije in povezave z grozdom Alpha
Kasnejše preiskave so pokazale, da je bila spremenjena različica EAGERBEE uporabljena v kampanjah kibernetskega vohunjenja, pripisanih kitajskemu državnemu akterju grožnje, znanemu kot Cluster Alpha. Ta operacija s kodnim imenom Crimson Palace je bila namenjena pridobivanju občutljivih političnih in vojaških obveščevalnih podatkov iz pomembne vladne agencije v jugovzhodni Aziji.
Cluster Alpha se prekriva z drugimi skupinami za kibernetsko vohunjenje, vključno z BackdoorDiplomacy , REF5961, Worok in TA428. Predvsem si BackdoorDiplomacy deli taktične značilnosti z CloudComputating (imenovanim tudi Faking Dragon), kitajsko govorečo entiteto, povezano z modularnim ogrodjem zlonamerne programske opreme, znanim kot QSC. Ta okvir so opazili pri kibernetskih napadih na telekomunikacijski sektor v Južni Aziji.
Izvajanje v pomnilniku in zmožnosti prikritega delovanja
QSC sledi modularni arhitekturi, v kateri je samo začetni nalagalnik shranjen na disku, medtem ko jedro in omrežne komponente ostanejo v pomnilniku. Ta pristop omogoča napadalcem, da dinamično naložijo vtičnike glede na svoje cilje.
Pri najnovejših vdorih EAGERBEE injektorski DLL izvede modul backdoor. Ko so aktivirana, stranska vrata zbirajo sistemske podrobnosti in jih posredujejo oddaljenemu strežniku prek vtičnice TCP. Posebna metoda, uporabljena za pridobitev začetnega dostopa v teh incidentih, ostaja nejasna.
Oddaljeni strežnik se odzove z uvedbo Plugin Orchestrator, ki pridobi in poroča o sistemskih podrobnostih, kot so imena NetBIOS domene, statistika uporabe pomnilnika in sistemske lokalne nastavitve. Med čakanjem na nadaljnja navodila zbira tudi podatke o tekočih procesih, vključno z:
- Vstavljanje vtičnikov v pomnilnik
- Odstranjevanje določenih vtičnikov ali brisanje vseh s seznama
- Preverjanje, ali je vtičnik aktiven
Vsak vtičnik izvaja ukaze orkestratorja, upravljanje datotek, nadzor procesov, povezljivost na daljavo, nadzor sistemskih storitev in spremljanje omrežne povezave.
Izkoriščanje ranljivosti in trajnih groženj
Raziskovalci so odkrili okužbe EAGERBEE v več organizacijah v vzhodni Aziji, pri čemer sta vsaj dve kršitvi povezani z ranljivostjo ProxyLogon (CVE-2021-26855). V teh primerih so napadalci namestili spletne lupine za izvajanje ukazov na ogroženih strežnikih, kar je na koncu vodilo do namestitve stranskih vrat.
EAGERBEE deluje predvsem kot pomnilniško rezidenčno ogrodje, zasnova, ki bistveno izboljša njegovo sposobnost izogibanja zaznavanju s konvencionalnimi varnostnimi orodji. Z vbrizgavanjem nevarne kode v legitimne procese prikrije svoje dejavnosti ukazne lupine, se neopazno zlije z običajnimi sistemskimi funkcijami in oteži prizadevanja za odkrivanje in analizo njegovega vedenja.