EAGERBEE Malware
Isang bagong na-update na bersyon ng EAGERBEE malware framework ang naobserbahang nagta-target sa Mga Internet Service Provider (ISP) at mga organisasyon ng pamahalaan sa Middle East.
Ang pinakabagong pag-ulit na ito, na kilala rin bilang Thumtais, ay may kasamang hanay ng mga bahagi na nagbibigay-daan dito upang mag-deploy ng mga karagdagang payload, mag-explore ng mga file system, at magsagawa ng mga command shell. Ang mga pagpapahusay na ito ay nagmamarka ng isang makabuluhang pagsulong sa mga kakayahan nito.
Talaan ng mga Nilalaman
Modular na Disenyo at Mga Kategorya na Functional
Ang backdoor ay umaasa sa mga pangunahing plugin, na maaaring ipangkat batay sa kanilang mga function: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing at Service Management. Iniugnay ng mga mananaliksik sa cybersecurity ang EAGERBEE na may katamtamang kumpiyansa sa isang grupo ng pagbabanta na kilala bilang CoughingDown.
Sa una, ang EAGERBEE ay nauugnay sa isang cyber-espionage group na inisponsor ng estado na itinalagang REF5961. Ang backdoor na ito, bagama't diretso sa teknikal, ay sumusuporta sa parehong forward at reverse command-and-control na mga channel na may SSL encryption. Pangunahing idinisenyo ito para sa system reconnaissance at para mapadali ang paghahatid ng mga karagdagang executable para sa mga aktibidad pagkatapos ng pagsasamantala.
Espionage Operations at Koneksyon sa Cluster Alpha
Inihayag ng mga pagsisiyasat sa ibang pagkakataon na ang isang binagong bersyon ng EAGERBEE ay na-deploy sa mga cyber espionage campaign na iniuugnay sa isang Chinese state-affiliated threat actor na kilala bilang Cluster Alpha. Ang operasyong ito ay pinangalanang Crimson Palace, na naglalayong kunin ang sensitibong political at military intelligence mula sa isang high-profile na ahensya ng gobyerno sa Southeast Asia.
Ang Cluster Alpha ay nagpapakita ng mga overlap sa iba pang mga cyber-espionage group, kabilang ang BackdoorDiplomacy , REF5961, Worok at TA428. Kapansin-pansin, ang BackdoorDiplomacy ay nagbabahagi ng mga taktikal na katangian sa CloudComputating (tinatawag ding Faking Dragon), isang entity na nagsasalita ng Chinese na naka-link sa isang modular malware framework na kilala bilang QSC. Ang balangkas na ito ay naobserbahan sa mga cyberattack laban sa sektor ng telecom sa Timog Asya.
In-Memory Execution at Stealth Capabilities
Ang QSC ay sumusunod sa isang modular na arkitektura kung saan ang paunang loader lamang ang nakaimbak sa disk, habang ang mga bahagi ng core at network ay nananatili sa memorya. Ang diskarte na ito ay nagbibigay-daan sa mga umaatake na mag-load ng mga plugin batay sa kanilang mga layunin nang pabago-bago.
Sa pinakahuling panghihimasok sa EAGERBEE, isang injector DLL ang nagpapatupad ng backdoor module. Kapag na-activate na, ang backdoor ay nagtitipon ng mga detalye ng system at ipinapadala ang mga ito sa isang malayong server sa pamamagitan ng isang TCP socket. Ang partikular na paraan na ginamit para makakuha ng paunang access sa mga insidenteng ito ay nananatiling hindi maliwanag.
Tumutugon ang malayong server sa pamamagitan ng pag-deploy ng Plugin Orchestrator, na kumukuha at nag-uulat ng mga detalye ng system tulad ng mga pangalan ng domain ng NetBIOS, mga istatistika ng paggamit ng memorya, at mga setting ng lokal na sistema. Nangongolekta din ito ng data sa mga prosesong tumatakbo habang naghihintay ng karagdagang mga tagubilin, kabilang ang:
- Pag-inject ng mga plugin sa memorya
- Pag-alis ng mga partikular na plugin o pag-clear sa lahat mula sa listahan
- Pag-verify kung aktibo ang isang plugin
Ang bawat plugin ay nagpapatupad ng mga utos mula sa orkestra, pangangasiwa sa pamamahala ng file, kontrol sa proseso, malayuang koneksyon, pangangasiwa sa serbisyo ng system, at pagsubaybay sa koneksyon sa network.
Pinagsasamantalahan ang Mga Kahinaan at Patuloy na Banta
Natukoy ng mga mananaliksik ang mga impeksyon ng EAGERBEE sa maraming organisasyon sa East Asia, na may hindi bababa sa dalawang paglabag na nauugnay sa kahinaan ng ProxyLogon (CVE-2021-26855). Sa mga kasong ito, nag-deploy ang mga attacker ng mga web shell upang magsagawa ng mga command sa mga nakompromisong server, na humahantong sa pag-install ng backdoor.
Ang EAGERBEE ay pangunahing gumagana bilang isang memory-resident framework, isang disenyo na makabuluhang nagpapahusay sa kakayahan nitong umiwas sa pagtuklas ng mga nakasanayang tool sa seguridad. Sa pamamagitan ng pag-iniksyon ng hindi ligtas na code sa mga lehitimong proseso, itinatago nito ang mga aktibidad ng command shell nito, walang putol na paghahalo sa mga normal na function ng system at kumplikadong pagsisikap na makita at suriin ang gawi nito.