EAGERBEE మాల్వేర్

EAGERBEE మాల్వేర్ ఫ్రేమ్‌వర్క్ యొక్క కొత్తగా నవీకరించబడిన సంస్కరణ ఇంటర్నెట్ సర్వీస్ ప్రొవైడర్లు (ISPలు) మరియు మధ్యప్రాచ్యంలోని ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకోవడం గమనించబడింది.

తుమ్‌టైస్ అని కూడా పిలువబడే ఈ తాజా పునరావృతం, అదనపు పేలోడ్‌లను అమలు చేయడానికి, ఫైల్ సిస్టమ్‌లను అన్వేషించడానికి మరియు కమాండ్ షెల్‌లను అమలు చేయడానికి వీలు కల్పించే అనేక భాగాలను కలిగి ఉంటుంది. ఈ మెరుగుదలలు దాని సామర్థ్యాలలో గణనీయమైన పురోగతిని సూచిస్తాయి.

మాడ్యులర్ డిజైన్ మరియు ఫంక్షనల్ కేటగిరీలు

బ్యాక్‌డోర్ కీ ప్లగిన్‌లపై ఆధారపడుతుంది, వీటిని వాటి ఫంక్షన్‌ల ఆధారంగా సమూహపరచవచ్చు: ప్లగిన్ ఆర్కెస్ట్రాటర్, ఫైల్ సిస్టమ్ మానిప్యులేషన్, రిమోట్ యాక్సెస్ మేనేజర్, ప్రాసెస్ ఎక్స్‌ప్లోరేషన్, నెట్‌వర్క్ కనెక్షన్ లిస్టింగ్ మరియు సర్వీస్ మేనేజ్‌మెంట్. సైబర్‌ సెక్యూరిటీ పరిశోధకులు EAGERBEEని మీడియం కాన్ఫిడెన్స్‌తో CoughingDown అని పిలిచే ముప్పు సమూహంతో అనుసంధానించారు.

ప్రారంభంలో, EAGERBEE REF5961 పేరుతో రాష్ట్ర-ప్రాయోజిత సైబర్-గూఢచర్య సమూహంతో అనుబంధించబడింది. ఈ బ్యాక్‌డోర్, సాంకేతికంగా సూటిగా ఉన్నప్పటికీ, SSL ఎన్‌క్రిప్షన్‌తో ఫార్వర్డ్ మరియు రివర్స్ కమాండ్-అండ్-కంట్రోల్ ఛానెల్‌లకు మద్దతు ఇస్తుంది. ఇది ప్రధానంగా సిస్టమ్ నిఘా కోసం రూపొందించబడింది మరియు దోపిడీ అనంతర కార్యకలాపాల కోసం అదనపు ఎక్జిక్యూటబుల్స్ డెలివరీని సులభతరం చేస్తుంది.

క్లస్టర్ ఆల్ఫాకు గూఢచర్య కార్యకలాపాలు మరియు కనెక్షన్లు

క్లస్టర్ ఆల్ఫా అని పిలవబడే చైనీస్ రాష్ట్ర-అనుబంధ బెదిరింపు నటుడికి ఆపాదించబడిన సైబర్ గూఢచర్య ప్రచారాలలో EAGERBEE యొక్క సవరించిన సంస్కరణను మోహరించినట్లు తదుపరి పరిశోధనలు వెల్లడించాయి. క్రిమ్సన్ ప్యాలెస్ అనే సంకేతనామం కలిగిన ఈ ఆపరేషన్ ఆగ్నేయాసియాలోని ఉన్నత స్థాయి ప్రభుత్వ సంస్థ నుండి సున్నితమైన రాజకీయ మరియు సైనిక గూఢచారాన్ని సేకరించేందుకు ఉద్దేశించబడింది.

క్లస్టర్ ఆల్ఫా బ్యాక్‌డోర్ డిప్లొమసీ , REF5961, వోరోక్ మరియు TA428తో సహా ఇతర సైబర్-గూఢచర్య సమూహాలతో అతివ్యాప్తి చెందుతుంది. ముఖ్యంగా, బ్యాక్‌డోర్ డిప్లొమసీ క్లౌడ్‌కంప్యూటింగ్‌తో వ్యూహాత్మక లక్షణాలను పంచుకుంటుంది (దీనిని ఫేకింగ్ డ్రాగన్ అని కూడా పిలుస్తారు), ఇది QSC అని పిలవబడే మాడ్యులర్ మాల్వేర్ ఫ్రేమ్‌వర్క్‌తో అనుసంధానించబడిన చైనీస్-మాట్లాడే సంస్థ. దక్షిణాసియాలో టెలికాం రంగానికి వ్యతిరేకంగా జరిగిన సైబర్‌టాక్‌లలో ఈ ఫ్రేమ్‌వర్క్ గమనించబడింది.

ఇన్-మెమరీ ఎగ్జిక్యూషన్ మరియు స్టెల్త్ సామర్థ్యాలు

QSC మాడ్యులర్ ఆర్కిటెక్చర్‌ను అనుసరిస్తుంది, దీనిలో ప్రారంభ లోడర్ మాత్రమే డిస్క్‌లో నిల్వ చేయబడుతుంది, అయితే కోర్ మరియు నెట్‌వర్క్ భాగాలు మెమరీలో ఉంటాయి. ఈ విధానం దాడి చేసేవారిని వారి లక్ష్యాల ఆధారంగా డైనమిక్‌గా ప్లగిన్‌లను లోడ్ చేయడానికి అనుమతిస్తుంది.

ఇటీవలి EAGERBEE చొరబాట్లలో, ఒక ఇంజెక్టర్ DLL బ్యాక్‌డోర్ మాడ్యూల్‌ను అమలు చేస్తుంది. యాక్టివేట్ అయిన తర్వాత, బ్యాక్‌డోర్ సిస్టమ్ వివరాలను సేకరిస్తుంది మరియు వాటిని TCP సాకెట్ ద్వారా రిమోట్ సర్వర్‌కి ప్రసారం చేస్తుంది. ఈ సంఘటనలలో ప్రారంభ ప్రాప్యతను పొందడానికి ఉపయోగించే నిర్దిష్ట పద్ధతి అస్పష్టంగానే ఉంది.

రిమోట్ సర్వర్ ప్లగిన్ ఆర్కెస్ట్రాటర్‌ని అమలు చేయడం ద్వారా ప్రతిస్పందిస్తుంది, ఇది డొమైన్ NetBIOS పేర్లు, మెమరీ వినియోగ గణాంకాలు మరియు సిస్టమ్ లొకేల్ సెట్టింగ్‌ల వంటి సిస్టమ్ వివరాలను తిరిగి పొందుతుంది మరియు నివేదిస్తుంది. ఇది తదుపరి సూచనల కోసం వేచి ఉన్న సమయంలో నడుస్తున్న ప్రక్రియలపై డేటాను కూడా సేకరిస్తుంది, వాటితో సహా:

  • మెమరీలోకి ప్లగిన్‌లను ఇంజెక్ట్ చేస్తోంది
  • నిర్దిష్ట ప్లగిన్‌లను అన్‌లోడ్ చేయడం లేదా జాబితా నుండి అన్నింటినీ క్లియర్ చేయడం
  • ప్లగిన్ సక్రియంగా ఉందో లేదో ధృవీకరిస్తోంది

ప్రతి ప్లగ్ఇన్ ఆర్కెస్ట్రాటర్ నుండి ఆదేశాలను అమలు చేస్తుంది, ఫైల్ మేనేజ్‌మెంట్, ప్రాసెస్ కంట్రోల్, రిమోట్ కనెక్టివిటీ, సిస్టమ్ సర్వీస్ పర్యవేక్షణ మరియు నెట్‌వర్క్ కనెక్షన్ పర్యవేక్షణను నిర్వహించడం.

దుర్బలత్వాలు మరియు నిరంతర బెదిరింపులను ఉపయోగించుకోవడం

పరిశోధకులు తూర్పు ఆసియాలోని బహుళ సంస్థలలో EAGERBEE ఇన్‌ఫెక్షన్‌లను గుర్తించారు, కనీసం రెండు ఉల్లంఘనలు ProxyLogon దుర్బలత్వం (CVE-2021-26855)తో ముడిపడి ఉన్నాయి. ఈ సందర్భాలలో, దాడి చేసేవారు రాజీపడిన సర్వర్‌లపై ఆదేశాలను అమలు చేయడానికి వెబ్ షెల్‌లను మోహరించారు, చివరికి బ్యాక్‌డోర్ యొక్క ఇన్‌స్టాలేషన్‌కు దారితీసింది.

EAGERBEE ప్రాథమికంగా మెమరీ-రెసిడెంట్ ఫ్రేమ్‌వర్క్‌గా పనిచేస్తుంది, ఇది సాంప్రదాయిక భద్రతా సాధనాల ద్వారా గుర్తించకుండా తప్పించుకునే సామర్థ్యాన్ని గణనీయంగా పెంచుతుంది. చట్టబద్ధమైన ప్రక్రియల్లోకి అసురక్షిత కోడ్‌ను ఇంజెక్ట్ చేయడం ద్వారా, ఇది దాని కమాండ్ షెల్ కార్యకలాపాలను దాచిపెడుతుంది, సాధారణ సిస్టమ్ ఫంక్షన్‌లతో సజావుగా మిళితం చేస్తుంది మరియు దాని ప్రవర్తనను గుర్తించి విశ్లేషించే ప్రయత్నాలను క్లిష్టతరం చేస్తుంది.

ట్రెండింగ్‌లో ఉంది

అత్యంత వీక్షించబడిన

లోడ్...