Malware EAGERBEE

Një version i përditësuar rishtazi i kornizës së malware EAGERBEE është vërejtur që synon Ofruesit e Shërbimeve të Internetit (ISP) dhe organizatat qeveritare në Lindjen e Mesme.

Ky përsëritje i fundit, i njohur gjithashtu si Thumtais, përfshin një sërë komponentësh që i mundësojnë atij të vendosë ngarkesa shtesë, të eksplorojë sistemet e skedarëve dhe të ekzekutojë predha komanduese. Këto përmirësime shënojnë një përparim të rëndësishëm në aftësitë e tij.

Dizajni Modular dhe Kategoritë Funksionale

Backdoor mbështetet në shtojcat kryesore, të cilat mund të grupohen në bazë të funksioneve të tyre: Orkestruesi i Pluginave, Manipulimi i Sistemit të Skedarit, Menaxheri i Qasjes në distancë, Eksplorimi i Procesit, Lista e Lidhjeve në Rrjet dhe Menaxhimi i Shërbimeve. Studiuesit e sigurisë kibernetike e kanë lidhur EAGERBEE me besim mesatar me një grup kërcënimi të njohur si CoughingDown.

Fillimisht, EAGERBEE u shoqërua me një grup spiunazhi kibernetik të sponsorizuar nga shteti i caktuar REF5961. Kjo derë e pasme, megjithëse teknikisht e drejtpërdrejtë, mbështet kanalet e komandës dhe të kontrollit përpara dhe të kundërt me kriptim SSL. Ai është projektuar kryesisht për zbulimin e sistemit dhe për të lehtësuar shpërndarjen e ekzekutuesve shtesë për aktivitetet pas shfrytëzimit.

Operacionet e spiunazhit dhe lidhjet me Cluster Alpha

Hetimet e mëvonshme zbuluan se një version i modifikuar i EAGERBEE ishte vendosur në fushatat e spiunazhit kibernetik që i atribuohej një aktori kërcënimi të lidhur me shtetin kinez të njohur si Cluster Alpha. Ky operacion i koduar me emrin Crimson Palace, kishte për qëllim nxjerrjen e inteligjencës së ndjeshme politike dhe ushtarake nga një agjenci qeveritare e profilit të lartë në Azinë Juglindore.

Cluster Alpha shfaq mbivendosje me grupe të tjera të spiunazhit kibernetik, duke përfshirë BackdoorDiplomacy , REF5961, Worok dhe TA428. Veçanërisht, BackdoorDiplomacy ndan karakteristikat taktike me CloudComputating (i quajtur edhe Faking Dragon), një entitet që flet kinezisht i lidhur me një kornizë modulare malware të njohur si QSC. Ky kuadër është vërejtur në sulmet kibernetike kundër sektorit të telekomit në Azinë Jugore.

Ekzekutimi në memorie dhe aftësitë e fshehta

QSC ndjek një arkitekturë modulare në të cilën vetëm ngarkuesi fillestar ruhet në disk, ndërsa komponentët thelbësorë dhe të rrjetit mbeten në memorie. Kjo qasje i lejon sulmuesit të ngarkojnë shtojcat bazuar në objektivat e tyre në mënyrë dinamike.

Në ndërhyrjet më të fundit të EAGERBEE, një DLL injeksioni ekzekuton modulin e pasme. Pasi të aktivizohet, porta e pasme mbledh detajet e sistemit dhe i transmeton ato në një server në distancë nëpërmjet një prize TCP. Metoda specifike e përdorur për të fituar akses fillestar në këto incidente mbetet e paqartë.

Serveri në distancë përgjigjet duke vendosur "Plugin Orchestrator", i cili merr dhe raporton detajet e sistemit si emrat e domenit NetBIOS, statistikat e përdorimit të kujtesës dhe cilësimet e vendndodhjes së sistemit. Ai gjithashtu mbledh të dhëna për proceset e ekzekutimit ndërsa pret udhëzime të mëtejshme, duke përfshirë:

  • Injektimi i shtojcave në memorie
  • Shkarkimi i shtojcave specifike ose pastrimi i të gjitha nga lista
  • Verifikimi nëse një shtojcë është aktive

Çdo plugin ekzekuton komanda nga orkestratori, menaxhimin e skedarëve, kontrollin e procesit, lidhjen në distancë, mbikëqyrjen e shërbimit të sistemit dhe monitorimin e lidhjes së rrjetit.

Shfrytëzimi i dobësive dhe kërcënimeve të vazhdueshme

Studiuesit kanë identifikuar infeksione EAGERBEE nëpër organizata të shumta në Azinë Lindore, me të paktën dy shkelje të lidhura me cenueshmërinë ProxyLogon (CVE-2021-26855). Në këto raste, sulmuesit vendosën predha uebi për të ekzekutuar komanda në serverë të komprometuar, duke çuar përfundimisht në instalimin e backdoor.

EAGERBEE funksionon kryesisht si një kornizë rezidente e memories, një dizajn që rrit ndjeshëm aftësinë e tij për të shmangur zbulimin nga mjetet konvencionale të sigurisë. Duke injektuar kod të pasigurt në procese legjitime, ai fsheh aktivitetet e tij të guaskës së komandës, duke u përzier pa probleme me funksionet normale të sistemit dhe duke komplikuar përpjekjet për të zbuluar dhe analizuar sjelljen e tij.

Në trend

Më e shikuara

Po ngarkohet...