Malware EAGERBEE
Një version i përditësuar rishtazi i kornizës së malware EAGERBEE është vërejtur që synon Ofruesit e Shërbimeve të Internetit (ISP) dhe organizatat qeveritare në Lindjen e Mesme.
Ky përsëritje i fundit, i njohur gjithashtu si Thumtais, përfshin një sërë komponentësh që i mundësojnë atij të vendosë ngarkesa shtesë, të eksplorojë sistemet e skedarëve dhe të ekzekutojë predha komanduese. Këto përmirësime shënojnë një përparim të rëndësishëm në aftësitë e tij.
Tabela e Përmbajtjes
Dizajni Modular dhe Kategoritë Funksionale
Backdoor mbështetet në shtojcat kryesore, të cilat mund të grupohen në bazë të funksioneve të tyre: Orkestruesi i Pluginave, Manipulimi i Sistemit të Skedarit, Menaxheri i Qasjes në distancë, Eksplorimi i Procesit, Lista e Lidhjeve në Rrjet dhe Menaxhimi i Shërbimeve. Studiuesit e sigurisë kibernetike e kanë lidhur EAGERBEE me besim mesatar me një grup kërcënimi të njohur si CoughingDown.
Fillimisht, EAGERBEE u shoqërua me një grup spiunazhi kibernetik të sponsorizuar nga shteti i caktuar REF5961. Kjo derë e pasme, megjithëse teknikisht e drejtpërdrejtë, mbështet kanalet e komandës dhe të kontrollit përpara dhe të kundërt me kriptim SSL. Ai është projektuar kryesisht për zbulimin e sistemit dhe për të lehtësuar shpërndarjen e ekzekutuesve shtesë për aktivitetet pas shfrytëzimit.
Operacionet e spiunazhit dhe lidhjet me Cluster Alpha
Hetimet e mëvonshme zbuluan se një version i modifikuar i EAGERBEE ishte vendosur në fushatat e spiunazhit kibernetik që i atribuohej një aktori kërcënimi të lidhur me shtetin kinez të njohur si Cluster Alpha. Ky operacion i koduar me emrin Crimson Palace, kishte për qëllim nxjerrjen e inteligjencës së ndjeshme politike dhe ushtarake nga një agjenci qeveritare e profilit të lartë në Azinë Juglindore.
Cluster Alpha shfaq mbivendosje me grupe të tjera të spiunazhit kibernetik, duke përfshirë BackdoorDiplomacy , REF5961, Worok dhe TA428. Veçanërisht, BackdoorDiplomacy ndan karakteristikat taktike me CloudComputating (i quajtur edhe Faking Dragon), një entitet që flet kinezisht i lidhur me një kornizë modulare malware të njohur si QSC. Ky kuadër është vërejtur në sulmet kibernetike kundër sektorit të telekomit në Azinë Jugore.
Ekzekutimi në memorie dhe aftësitë e fshehta
QSC ndjek një arkitekturë modulare në të cilën vetëm ngarkuesi fillestar ruhet në disk, ndërsa komponentët thelbësorë dhe të rrjetit mbeten në memorie. Kjo qasje i lejon sulmuesit të ngarkojnë shtojcat bazuar në objektivat e tyre në mënyrë dinamike.
Në ndërhyrjet më të fundit të EAGERBEE, një DLL injeksioni ekzekuton modulin e pasme. Pasi të aktivizohet, porta e pasme mbledh detajet e sistemit dhe i transmeton ato në një server në distancë nëpërmjet një prize TCP. Metoda specifike e përdorur për të fituar akses fillestar në këto incidente mbetet e paqartë.
Serveri në distancë përgjigjet duke vendosur "Plugin Orchestrator", i cili merr dhe raporton detajet e sistemit si emrat e domenit NetBIOS, statistikat e përdorimit të kujtesës dhe cilësimet e vendndodhjes së sistemit. Ai gjithashtu mbledh të dhëna për proceset e ekzekutimit ndërsa pret udhëzime të mëtejshme, duke përfshirë:
- Injektimi i shtojcave në memorie
- Shkarkimi i shtojcave specifike ose pastrimi i të gjitha nga lista
- Verifikimi nëse një shtojcë është aktive
Çdo plugin ekzekuton komanda nga orkestratori, menaxhimin e skedarëve, kontrollin e procesit, lidhjen në distancë, mbikëqyrjen e shërbimit të sistemit dhe monitorimin e lidhjes së rrjetit.
Shfrytëzimi i dobësive dhe kërcënimeve të vazhdueshme
Studiuesit kanë identifikuar infeksione EAGERBEE nëpër organizata të shumta në Azinë Lindore, me të paktën dy shkelje të lidhura me cenueshmërinë ProxyLogon (CVE-2021-26855). Në këto raste, sulmuesit vendosën predha uebi për të ekzekutuar komanda në serverë të komprometuar, duke çuar përfundimisht në instalimin e backdoor.
EAGERBEE funksionon kryesisht si një kornizë rezidente e memories, një dizajn që rrit ndjeshëm aftësinë e tij për të shmangur zbulimin nga mjetet konvencionale të sigurisë. Duke injektuar kod të pasigurt në procese legjitime, ai fsheh aktivitetet e tij të guaskës së komandës, duke u përzier pa probleme me funksionet normale të sistemit dhe duke komplikuar përpjekjet për të zbuluar dhe analizuar sjelljen e tij.