ЕАГЕРБЕЕ Малваре
Примећено је да је недавно ажурирана верзија оквира за малвер ЕАГЕРБЕЕ усмерена на провајдере интернет услуга (ИСП) и владине организације на Блиском истоку.
Ова најновија итерација, такође позната као Тхумтаис, укључује низ компоненти које јој омогућавају да примени додатни терет, истражује систем датотека и извршава командне шкољке. Ова побољшања означавају значајан напредак у његовим могућностима.
Преглед садржаја
Модуларни дизајн и функционалне категорије
Бацкдоор се ослања на кључне додатке, који се могу груписати на основу њихових функција: Оркестратор додатака, управљање системом датотека, управитељ удаљеног приступа, истраживање процеса, листа мрежних веза и управљање услугама. Истраживачи сајбер безбедности су повезали ЕАГЕРБЕЕ са средњим поверењем са групом претњи познатом као ЦоугхингДовн.
У почетку, ЕАГЕРБЕЕ је био повезан са групом за сајбер шпијунажу коју је спонзорисала држава под називом РЕФ5961. Овај бацкдоор, иако технички једноставан, подржава и унапред и обрнуто канале команде и контроле са ССЛ енкрипцијом. Првенствено је дизајниран за извиђање система и да олакша испоруку додатних извршних датотека за активности након експлоатације.
Шпијунске операције и везе са кластером Алфа
Касније истраге су откриле да је модификована верзија ЕАГЕРБЕЕ коришћена у кампањама сајбер шпијунаже које се приписују кинеском актеру претњи повезаном са државом познатом као Цлустер Алпха. Ова операција кодног назива Гримизна палата, имала је за циљ да извуче осетљиве политичке и војне обавештајне податке из владине агенције високог профила у југоисточној Азији.
Цлустер Алпха се преклапа са другим групама за сајбер шпијунажу, укључујући БацкдоорДипломаци , РЕФ5961, Ворок и ТА428. Значајно је да БацкдоорДипломаци дели тактичке карактеристике са ЦлоудЦомпутатинг-ом (који се такође назива Факинг Драгон), ентитетом који говори кинески и који је повезан са модуларним оквиром за малвер познат као КСЦ. Овај оквир је примећен у сајбер нападима на сектор телекомуникација у Јужној Азији.
Извршење у меморији и могућности прикривености
КСЦ прати модуларну архитектуру у којој се само почетни учитавач чува на диску, док компоненте језгра и мреже остају у меморији. Овај приступ омогућава нападачима да динамички учитавају додатке на основу својих циљева.
У најновијим упадима ЕАГЕРБЕЕ, ДЛЛ ињектора извршава бацкдоор модул. Када се активира, бацкдоор прикупља податке о систему и преноси их на удаљени сервер преко ТЦП утичнице. Конкретан метод који се користи за добијање почетног приступа у овим инцидентима остаје нејасан.
Удаљени сервер реагује тако што примењује Плугин Орцхестратор, који преузима и извештава системске детаље као што су НетБИОС имена домена, статистика коришћења меморије и подешавања локализације система. Такође прикупља податке о покренутим процесима док чека даља упутства, укључујући:
- Убацивање додатака у меморију
- Учитавање одређених додатака или брисање свих са листе
- Провера да ли је додатак активан
Сваки додатак извршава команде оркестратора, руковање управљањем датотекама, контролу процеса, даљинско повезивање, надзор системских услуга и праћење мрежне везе.
Искоришћавање рањивости и трајних претњи
Истраживачи су идентификовали ЕАГЕРБЕЕ инфекције у више организација у источној Азији, са најмање две повреде повезане са рањивости ПрокиЛогон (ЦВЕ-2021-26855). У овим случајевима, нападачи су применили веб шкољке да изврше команде на компромитованим серверима, што је на крају довело до инсталирања бацкдоор-а.
ЕАГЕРБЕЕ функционише првенствено као меморијски оквир, дизајн који значајно побољшава његову способност да избегне детекцију конвенционалним безбедносним алатима. Убацивањем небезбедног кода у легитимне процесе, он прикрива своје активности командне љуске, неприметно се стапајући са нормалним системским функцијама и компликујући напоре да се открије и анализира његово понашање.