EAGERBEE Kötü Amaçlı Yazılım
EAGERBEE kötü amaçlı yazılım çerçevesinin yeni güncellenmiş bir sürümünün Orta Doğu'daki İnternet Servis Sağlayıcılarını (İSS) ve hükümet kuruluşlarını hedef aldığı gözlemlendi.
Thumtais olarak da bilinen bu son yineleme, ek yükler dağıtmasına, dosya sistemlerini keşfetmesine ve komut kabuklarını yürütmesine olanak tanıyan bir dizi bileşen içerir. Bu geliştirmeler, yeteneklerinde önemli bir ilerlemeyi işaret ediyor.
İçindekiler
Modüler Tasarım ve Fonksiyonel Kategoriler
Arka kapı, işlevlerine göre gruplandırılabilen temel eklentilere dayanır: Eklenti Orkestratörü, Dosya Sistemi Manipülasyonu, Uzaktan Erişim Yöneticisi, İşlem Araştırması, Ağ Bağlantısı Listeleme ve Hizmet Yönetimi. Siber güvenlik araştırmacıları, EAGERBEE'yi orta düzeyde güvenle CoughingDown olarak bilinen bir tehdit grubuyla ilişkilendirdiler.
Başlangıçta, EAGERBEE, REF5961 olarak adlandırılan devlet destekli bir siber casusluk grubuyla ilişkilendirildi. Bu arka kapı, teknik olarak basit olsa da, SSL şifrelemesiyle hem ileri hem de geri komuta ve kontrol kanallarını destekler. Öncelikle sistem keşfi ve istismar sonrası faaliyetler için ek yürütülebilir dosyaların teslimini kolaylaştırmak için tasarlanmıştır.
Casusluk Operasyonları ve Cluster Alpha ile Bağlantılar
Daha sonraki araştırmalar, Cluster Alpha olarak bilinen Çin devletine bağlı bir tehdit aktörü tarafından yürütülen siber casusluk kampanyalarında EAGERBEE'nin değiştirilmiş bir versiyonunun konuşlandırıldığını ortaya çıkardı. Kod adı Crimson Palace olan bu operasyon, Güneydoğu Asya'daki yüksek profilli bir devlet kurumundan hassas siyasi ve askeri istihbarat elde etmeyi amaçlıyordu.
Cluster Alpha, BackdoorDiplomacy , REF5961, Worok ve TA428 gibi diğer siber casusluk gruplarıyla örtüşmeler sergiliyor. Özellikle, BackdoorDiplomacy, QSC olarak bilinen modüler bir kötü amaçlı yazılım çerçevesine bağlı Çince konuşan bir varlık olan CloudComputating (ayrıca Faking Dragon olarak da bilinir) ile taktiksel özellikleri paylaşıyor. Bu çerçeve, Güney Asya'daki telekom sektörüne yönelik siber saldırılarda gözlemlendi.
Bellekte Yürütme ve Gizli Yetenekler
QSC, yalnızca ilk yükleyicinin diskte depolandığı, çekirdek ve ağ bileşenlerinin ise bellekte kaldığı modüler bir mimariyi takip eder. Bu yaklaşım, saldırganların eklentileri hedeflerine göre dinamik olarak yüklemelerine olanak tanır.
En son EAGERBEE saldırılarında, bir enjektör DLL'si arka kapı modülünü çalıştırır. Etkinleştirildiğinde, arka kapı sistem ayrıntılarını toplar ve bunları bir TCP soketi aracılığıyla uzak bir sunucuya iletir. Bu olaylarda ilk erişimi elde etmek için kullanılan belirli yöntem belirsizliğini korumaktadır.
Uzak sunucu, etki alanı NetBIOS adları, bellek kullanım istatistikleri ve sistem yerel ayarları gibi sistem ayrıntılarını alan ve raporlayan Eklenti Orkestratörünü dağıtarak yanıt verir. Ayrıca, daha fazla talimat beklerken çalışan işlemlerle ilgili verileri toplar, bunlara şunlar dahildir:
- Eklentileri belleğe enjekte etme
- Belirli eklentileri kaldırma veya listeden tümünü temizleme
- Bir eklentinin etkin olup olmadığını doğrulama
Her eklenti, düzenleyiciden gelen komutları yürütür, dosya yönetimi, süreç kontrolü, uzaktan bağlantı, sistem hizmeti denetimi ve ağ bağlantısı izleme işlemlerini gerçekleştirir.
Güvenlik Açıklarını ve Sürekli Tehditleri Kullanma
Araştırmacılar, Doğu Asya'daki birden fazla kuruluşta EAGERBEE enfeksiyonlarını tespit etti ve en az iki ihlal ProxyLogon güvenlik açığıyla (CVE-2021-26855) bağlantılıydı. Bu durumlarda, saldırganlar tehlikeye atılmış sunucularda komutları yürütmek için web kabukları dağıttı ve bu da nihayetinde arka kapının kurulumuna yol açtı.
EAGERBEE, öncelikle bellekte yerleşik bir çerçeve olarak çalışır, bu tasarım geleneksel güvenlik araçları tarafından tespit edilmekten kaçınma yeteneğini önemli ölçüde artırır. Güvenli olmayan kodu meşru süreçlere enjekte ederek, komut kabuğu etkinliklerini gizler, normal sistem işlevleriyle sorunsuz bir şekilde harmanlanır ve davranışını tespit etme ve analiz etme çabalarını karmaşıklaştırır.
