EAGERBEE మాల్వేర్
EAGERBEE మాల్వేర్ ఫ్రేమ్వర్క్ యొక్క కొత్తగా నవీకరించబడిన సంస్కరణ ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్లు (ISPలు) మరియు మధ్యప్రాచ్యంలోని ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకోవడం గమనించబడింది.
తుమ్టైస్ అని కూడా పిలువబడే ఈ తాజా పునరావృతం, అదనపు పేలోడ్లను అమలు చేయడానికి, ఫైల్ సిస్టమ్లను అన్వేషించడానికి మరియు కమాండ్ షెల్లను అమలు చేయడానికి వీలు కల్పించే అనేక భాగాలను కలిగి ఉంటుంది. ఈ మెరుగుదలలు దాని సామర్థ్యాలలో గణనీయమైన పురోగతిని సూచిస్తాయి.
విషయ సూచిక
మాడ్యులర్ డిజైన్ మరియు ఫంక్షనల్ కేటగిరీలు
బ్యాక్డోర్ కీ ప్లగిన్లపై ఆధారపడుతుంది, వీటిని వాటి ఫంక్షన్ల ఆధారంగా సమూహపరచవచ్చు: ప్లగిన్ ఆర్కెస్ట్రాటర్, ఫైల్ సిస్టమ్ మానిప్యులేషన్, రిమోట్ యాక్సెస్ మేనేజర్, ప్రాసెస్ ఎక్స్ప్లోరేషన్, నెట్వర్క్ కనెక్షన్ లిస్టింగ్ మరియు సర్వీస్ మేనేజ్మెంట్. సైబర్ సెక్యూరిటీ పరిశోధకులు EAGERBEEని మీడియం కాన్ఫిడెన్స్తో CoughingDown అని పిలిచే ముప్పు సమూహంతో అనుసంధానించారు.
ప్రారంభంలో, EAGERBEE REF5961 పేరుతో రాష్ట్ర-ప్రాయోజిత సైబర్-గూఢచర్య సమూహంతో అనుబంధించబడింది. ఈ బ్యాక్డోర్, సాంకేతికంగా సూటిగా ఉన్నప్పటికీ, SSL ఎన్క్రిప్షన్తో ఫార్వర్డ్ మరియు రివర్స్ కమాండ్-అండ్-కంట్రోల్ ఛానెల్లకు మద్దతు ఇస్తుంది. ఇది ప్రధానంగా సిస్టమ్ నిఘా కోసం రూపొందించబడింది మరియు దోపిడీ అనంతర కార్యకలాపాల కోసం అదనపు ఎక్జిక్యూటబుల్స్ డెలివరీని సులభతరం చేస్తుంది.
క్లస్టర్ ఆల్ఫాకు గూఢచర్య కార్యకలాపాలు మరియు కనెక్షన్లు
క్లస్టర్ ఆల్ఫా అని పిలవబడే చైనీస్ రాష్ట్ర-అనుబంధ బెదిరింపు నటుడికి ఆపాదించబడిన సైబర్ గూఢచర్య ప్రచారాలలో EAGERBEE యొక్క సవరించిన సంస్కరణను మోహరించినట్లు తదుపరి పరిశోధనలు వెల్లడించాయి. క్రిమ్సన్ ప్యాలెస్ అనే సంకేతనామం కలిగిన ఈ ఆపరేషన్ ఆగ్నేయాసియాలోని ఉన్నత స్థాయి ప్రభుత్వ సంస్థ నుండి సున్నితమైన రాజకీయ మరియు సైనిక గూఢచారాన్ని సేకరించేందుకు ఉద్దేశించబడింది.
క్లస్టర్ ఆల్ఫా బ్యాక్డోర్ డిప్లొమసీ , REF5961, వోరోక్ మరియు TA428తో సహా ఇతర సైబర్-గూఢచర్య సమూహాలతో అతివ్యాప్తి చెందుతుంది. ముఖ్యంగా, బ్యాక్డోర్ డిప్లొమసీ క్లౌడ్కంప్యూటింగ్తో వ్యూహాత్మక లక్షణాలను పంచుకుంటుంది (దీనిని ఫేకింగ్ డ్రాగన్ అని కూడా పిలుస్తారు), ఇది QSC అని పిలవబడే మాడ్యులర్ మాల్వేర్ ఫ్రేమ్వర్క్తో అనుసంధానించబడిన చైనీస్-మాట్లాడే సంస్థ. దక్షిణాసియాలో టెలికాం రంగానికి వ్యతిరేకంగా జరిగిన సైబర్టాక్లలో ఈ ఫ్రేమ్వర్క్ గమనించబడింది.
ఇన్-మెమరీ ఎగ్జిక్యూషన్ మరియు స్టెల్త్ సామర్థ్యాలు
QSC మాడ్యులర్ ఆర్కిటెక్చర్ను అనుసరిస్తుంది, దీనిలో ప్రారంభ లోడర్ మాత్రమే డిస్క్లో నిల్వ చేయబడుతుంది, అయితే కోర్ మరియు నెట్వర్క్ భాగాలు మెమరీలో ఉంటాయి. ఈ విధానం దాడి చేసేవారిని వారి లక్ష్యాల ఆధారంగా డైనమిక్గా ప్లగిన్లను లోడ్ చేయడానికి అనుమతిస్తుంది.
ఇటీవలి EAGERBEE చొరబాట్లలో, ఒక ఇంజెక్టర్ DLL బ్యాక్డోర్ మాడ్యూల్ను అమలు చేస్తుంది. యాక్టివేట్ అయిన తర్వాత, బ్యాక్డోర్ సిస్టమ్ వివరాలను సేకరిస్తుంది మరియు వాటిని TCP సాకెట్ ద్వారా రిమోట్ సర్వర్కి ప్రసారం చేస్తుంది. ఈ సంఘటనలలో ప్రారంభ ప్రాప్యతను పొందడానికి ఉపయోగించే నిర్దిష్ట పద్ధతి అస్పష్టంగానే ఉంది.
రిమోట్ సర్వర్ ప్లగిన్ ఆర్కెస్ట్రాటర్ని అమలు చేయడం ద్వారా ప్రతిస్పందిస్తుంది, ఇది డొమైన్ NetBIOS పేర్లు, మెమరీ వినియోగ గణాంకాలు మరియు సిస్టమ్ లొకేల్ సెట్టింగ్ల వంటి సిస్టమ్ వివరాలను తిరిగి పొందుతుంది మరియు నివేదిస్తుంది. ఇది తదుపరి సూచనల కోసం వేచి ఉన్న సమయంలో నడుస్తున్న ప్రక్రియలపై డేటాను కూడా సేకరిస్తుంది, వాటితో సహా:
- మెమరీలోకి ప్లగిన్లను ఇంజెక్ట్ చేస్తోంది
- నిర్దిష్ట ప్లగిన్లను అన్లోడ్ చేయడం లేదా జాబితా నుండి అన్నింటినీ క్లియర్ చేయడం
- ప్లగిన్ సక్రియంగా ఉందో లేదో ధృవీకరిస్తోంది
ప్రతి ప్లగ్ఇన్ ఆర్కెస్ట్రాటర్ నుండి ఆదేశాలను అమలు చేస్తుంది, ఫైల్ మేనేజ్మెంట్, ప్రాసెస్ కంట్రోల్, రిమోట్ కనెక్టివిటీ, సిస్టమ్ సర్వీస్ పర్యవేక్షణ మరియు నెట్వర్క్ కనెక్షన్ పర్యవేక్షణను నిర్వహించడం.
దుర్బలత్వాలు మరియు నిరంతర బెదిరింపులను ఉపయోగించుకోవడం
పరిశోధకులు తూర్పు ఆసియాలోని బహుళ సంస్థలలో EAGERBEE ఇన్ఫెక్షన్లను గుర్తించారు, కనీసం రెండు ఉల్లంఘనలు ProxyLogon దుర్బలత్వం (CVE-2021-26855)తో ముడిపడి ఉన్నాయి. ఈ సందర్భాలలో, దాడి చేసేవారు రాజీపడిన సర్వర్లపై ఆదేశాలను అమలు చేయడానికి వెబ్ షెల్లను మోహరించారు, చివరికి బ్యాక్డోర్ యొక్క ఇన్స్టాలేషన్కు దారితీసింది.
EAGERBEE ప్రాథమికంగా మెమరీ-రెసిడెంట్ ఫ్రేమ్వర్క్గా పనిచేస్తుంది, ఇది సాంప్రదాయిక భద్రతా సాధనాల ద్వారా గుర్తించకుండా తప్పించుకునే సామర్థ్యాన్ని గణనీయంగా పెంచుతుంది. చట్టబద్ధమైన ప్రక్రియల్లోకి అసురక్షిత కోడ్ను ఇంజెక్ట్ చేయడం ద్వారా, ఇది దాని కమాండ్ షెల్ కార్యకలాపాలను దాచిపెడుతుంది, సాధారణ సిస్టమ్ ఫంక్షన్లతో సజావుగా మిళితం చేస్తుంది మరియు దాని ప్రవర్తనను గుర్తించి విశ్లేషించే ప్రయత్నాలను క్లిష్టతరం చేస్తుంది.