Hotdatabas Skadlig programvara EAGERBEE Skadlig programvara

EAGERBEE Skadlig programvara

En nyligen uppdaterad version av EAGERBEE-ramverket för skadlig programvara har observerats riktad mot Internetleverantörer (ISP) och statliga organisationer i Mellanöstern.

Denna senaste iteration, även känd som Thumtais, innehåller en rad komponenter som gör att den kan distribuera ytterligare nyttolaster, utforska filsystem och köra kommandoskal. Dessa förbättringar markerar ett betydande framsteg i dess kapacitet.

Modulär design och funktionskategorier

Bakdörren förlitar sig på nyckelplugins, som kan grupperas baserat på deras funktioner: Plugin Orchestrator, Filsystemmanipulation, Remote Access Manager, Process Exploration, Network Connection Listing och Service Management. Cybersäkerhetsforskare har kopplat EAGERBEE med medelstort självförtroende till en hotgrupp som kallas CoughingDown.

Inledningsvis var EAGERBEE associerad med en statligt sponsrad cyberspionagegrupp benämnd REF5961. Denna bakdörr, även om den är tekniskt okomplicerad, stöder både framåt- och bakåtkommando-och-kontrollkanaler med SSL-kryptering. Den är i första hand utformad för systemspaning och för att underlätta leveransen av ytterligare körbara filer för aktiviteter efter exploateringen.

Spionageverksamhet och anslutningar till Cluster Alpha

Senare undersökningar avslöjade att en modifierad version av EAGERBEE användes i cyberspionagekampanjer som tillskrivs en kinesisk statsanknuten hotaktör känd som Cluster Alpha. Denna operation med kodnamnet Crimson Palace, syftade till att utvinna känslig politisk och militär underrättelsetjänst från en högprofilerad statlig myndighet i Sydostasien.

Cluster Alpha uppvisar överlappningar med andra cyberspionagegrupper, inklusive BackdoorDiplomacy , REF5961, Worok och TA428. Noterbart är att BackdoorDiplomacy delar taktiska egenskaper med CloudComputating (även kallad Faking Dragon), en kinesisktalande enhet kopplad till ett modulärt ramverk för skadlig kod som kallas QSC. Detta ramverk har observerats vid cyberattacker mot telekomsektorn i Sydasien.

In-Memory Execution och Stealth Capabilities

QSC följer en modulär arkitektur där endast den initiala laddaren lagras på disken, medan kärn- och nätverkskomponenter finns kvar i minnet. Detta tillvägagångssätt tillåter angripare att ladda plugins baserat på deras mål dynamiskt.

I de senaste EAGERBEE-intrången kör en injektor-DLL bakdörrsmodulen. När den väl har aktiverats samlar bakdörren systemdetaljer och överför dem till en fjärrserver via en TCP-socket. Den specifika metod som används för att få första tillgång till dessa incidenter är fortfarande oklart.

Fjärrservern svarar genom att distribuera Plugin Orchestrator, som hämtar och rapporterar systemdetaljer såsom NetBIOS-domännamn, minnesanvändningsstatistik och systeminställningar. Den samlar också in data om pågående processer i väntan på ytterligare instruktioner, inklusive:

  • Injicera plugins i minnet
  • Avlastar specifika plugins eller rensar alla från listan
  • Verifierar om ett plugin är aktivt

Varje plugin kör kommandon från orkestratorn, hanterar filhantering, processkontroll, fjärranslutning, systemtjänstöversyn och nätverksanslutningsövervakning.

Utnyttja sårbarheter och ihållande hot

Forskare har identifierat EAGERBEE-infektioner i flera organisationer i Östasien, med minst två intrång kopplade till ProxyLogon-sårbarheten (CVE-2021-26855). I dessa fall använde angripare webbskal för att utföra kommandon på komprometterade servrar, vilket i slutändan ledde till installationen av bakdörren.

EAGERBEE fungerar främst som ett minnesbaserat ramverk, en design som avsevärt förbättrar dess förmåga att undvika upptäckt med konventionella säkerhetsverktyg. Genom att injicera osäker kod i legitima processer döljer den dess kommandoskalsaktiviteter, sömlöst blandas med normala systemfunktioner och komplicerar ansträngningarna att upptäcka och analysera dess beteende.

Trendigt

Mest sedda

Läser in...