มัลแวร์ EAGERBEE
พบว่าเฟรมเวิร์กมัลแวร์ EAGERBEE เวอร์ชันอัพเดตใหม่ล่าสุดมุ่งเป้าไปที่ผู้ให้บริการอินเทอร์เน็ต (ISP) และองค์กรภาครัฐในตะวันออกกลาง
เวอร์ชันล่าสุดนี้ซึ่งเรียกอีกอย่างว่า Thumtais ประกอบด้วยส่วนประกอบต่างๆ มากมายที่ช่วยให้สามารถปรับใช้เพย์โหลดเพิ่มเติม สำรวจระบบไฟล์ และดำเนินการเชลล์คำสั่ง การปรับปรุงเหล่านี้ถือเป็นความก้าวหน้าที่สำคัญในด้านความสามารถของมัน
สารบัญ
การออกแบบแบบโมดูลาร์และหมวดหมู่ฟังก์ชัน
แบ็คดอร์นั้นอาศัยปลั๊กอินหลัก ซึ่งสามารถจัดกลุ่มได้ตามฟังก์ชันต่างๆ ได้แก่ ตัวจัดการปลั๊กอิน การจัดการระบบไฟล์ ตัวจัดการการเข้าถึงระยะไกล การสำรวจกระบวนการ การแสดงรายการการเชื่อมต่อเครือข่าย และการจัดการบริการ นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เชื่อมโยง EAGERBEE ที่มีความเชื่อมั่นระดับกลางกับกลุ่มภัยคุกคามที่เรียกว่า CoughingDown
ในช่วงแรก EAGERBEE เกี่ยวข้องกับกลุ่มจารกรรมทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐซึ่งมีชื่อว่า REF5961 แม้ว่าแบ็คดอร์นี้จะตรงไปตรงมาในทางเทคนิค แต่ก็รองรับทั้งช่องทางคำสั่งและการควบคุมแบบเดินหน้าและถอยหลังด้วยการเข้ารหัส SSL แบ็คดอร์นี้ได้รับการออกแบบมาโดยเฉพาะสำหรับการลาดตระเวนระบบและเพื่ออำนวยความสะดวกในการส่งมอบไฟล์ปฏิบัติการเพิ่มเติมสำหรับกิจกรรมหลังการใช้ประโยชน์
ปฏิบัติการจารกรรมและการเชื่อมต่อกับคลัสเตอร์อัลฟ่า
การสืบสวนในภายหลังพบว่า EAGERBEE เวอร์ชันดัดแปลงถูกนำไปใช้ในแคมเปญจารกรรมทางไซเบอร์ที่เชื่อว่าเป็นฝีมือของกลุ่มผู้ก่อภัยคุกคามที่เชื่อมโยงกับรัฐบาลจีนที่รู้จักกันในชื่อ Cluster Alpha ปฏิบัติการนี้มีชื่อรหัสว่า Crimson Palace ซึ่งมีเป้าหมายเพื่อดึงข้อมูลข่าวกรองทางการเมืองและการทหารที่ละเอียดอ่อนจากหน่วยงานรัฐบาลระดับสูงในเอเชียตะวันออกเฉียงใต้
คลัสเตอร์อัลฟ่าแสดงการทับซ้อนกับกลุ่มจารกรรมทางไซเบอร์อื่นๆ รวมถึง BackdoorDiplomacy , REF5961, Worok และ TA428 โดยเฉพาะอย่างยิ่ง BackdoorDiplomacy มีลักษณะเชิงกลยุทธ์เหมือนกับ CloudComputating (หรือเรียกอีกอย่างว่า Faking Dragon) ซึ่งเป็นเอนทิตีที่พูดภาษาจีนซึ่งเชื่อมโยงกับกรอบงานมัลแวร์แบบโมดูลาร์ที่เรียกว่า QSC กรอบงานนี้พบเห็นได้ในการโจมตีทางไซเบอร์ต่อภาคโทรคมนาคมในเอเชียใต้
ความสามารถในการดำเนินการภายในหน่วยความจำและความลับ
QSC ปฏิบัติตามสถาปัตยกรรมแบบโมดูลาร์ โดยจัดเก็บเฉพาะตัวโหลดเริ่มต้นบนดิสก์เท่านั้น ในขณะที่ส่วนประกอบหลักและเครือข่ายยังคงอยู่ในหน่วยความจำ แนวทางนี้ช่วยให้ผู้โจมตีสามารถโหลดปลั๊กอินตามวัตถุประสงค์ได้แบบไดนามิก
ในการบุกรุก EAGERBEE ล่าสุด DLL ของตัวฉีดจะดำเนินการโมดูลแบ็คดอร์ เมื่อเปิดใช้งานแล้ว แบ็คดอร์จะรวบรวมรายละเอียดของระบบและส่งไปยังเซิร์ฟเวอร์ระยะไกลผ่านซ็อกเก็ต TCP วิธีการเฉพาะที่ใช้เพื่อเข้าถึงเบื้องต้นในเหตุการณ์เหล่านี้ยังคงไม่ชัดเจน
เซิร์ฟเวอร์ระยะไกลตอบสนองโดยปรับใช้ Plugin Orchestrator ซึ่งจะดึงและรายงานรายละเอียดระบบ เช่น ชื่อ NetBIOS ของโดเมน สถิติการใช้หน่วยความจำ และการตั้งค่าโลเคลของระบบ นอกจากนี้ยังรวบรวมข้อมูลเกี่ยวกับกระบวนการที่กำลังทำงานขณะรอคำสั่งเพิ่มเติม รวมถึง:
- การฉีดปลั๊กอินเข้าไปในหน่วยความจำ
- การยกเลิกการโหลดปลั๊กอินที่เฉพาะเจาะจงหรือการล้างทั้งหมดจากรายการ
- การตรวจสอบว่าปลั๊กอินทำงานอยู่หรือไม่
ปลั๊กอินแต่ละตัวจะดำเนินการคำสั่งจากผู้ประสานงาน ซึ่งได้แก่ จัดการไฟล์ จัดการกระบวนการ การเชื่อมต่อระยะไกล การดูแลบริการระบบ และการตรวจสอบการเชื่อมต่อเครือข่าย
การใช้ประโยชน์จากช่องโหว่และภัยคุกคามที่คงอยู่
นักวิจัยได้ระบุถึงการติดเชื้อ EAGERBEE ในองค์กรหลายแห่งในเอเชียตะวันออก โดยมีช่องโหว่อย่างน้อย 2 กรณีเชื่อมโยงกับช่องโหว่ ProxyLogon (CVE-2021-26855) ในกรณีเหล่านี้ ผู้โจมตีได้ใช้เว็บเชลล์เพื่อดำเนินการคำสั่งบนเซิร์ฟเวอร์ที่ถูกบุกรุก ซึ่งท้ายที่สุดก็นำไปสู่การติดตั้งแบ็คดอร์
EAGERBEE ใช้งานเป็นหลักในฐานะกรอบงานที่อยู่ในหน่วยความจำ ซึ่งเป็นการออกแบบที่ช่วยเพิ่มความสามารถในการหลบเลี่ยงการตรวจจับโดยเครื่องมือรักษาความปลอดภัยทั่วไปได้อย่างมาก โดยแทรกโค้ดที่ไม่ปลอดภัยลงในกระบวนการที่ถูกต้อง จึงสามารถซ่อนกิจกรรมเชลล์คำสั่งได้ ผสมผสานกับฟังก์ชันระบบปกติได้อย่างราบรื่น และทำให้การตรวจจับและวิเคราะห์พฤติกรรมของกรอบงานมีความซับซ้อนมากขึ้น
