Шкідливе програмне забезпечення EAGERBEE
Було виявлено, що нещодавно оновлена версія фреймворку зловмисного програмного забезпечення EAGERBEE спрямована на постачальників Інтернет-послуг (ISP) і урядові організації на Близькому Сході.
Ця остання ітерація, також відома як Thumtais, включає ряд компонентів, які дозволяють розгортати додаткові корисні навантаження, досліджувати файлові системи та виконувати командні оболонки. Ці вдосконалення знаменують значний прогрес у його можливостях.
Зміст
Модульний дизайн і функціональні категорії
Бекдор покладається на ключові плагіни, які можна згрупувати на основі їх функцій: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing and Service Management. Дослідники з кібербезпеки з середньою достовірністю пов’язують EAGERBEE з групою загроз, відомою як CoughingDown.
Спочатку EAGERBEE був пов’язаний із спонсорованою державою групою кібершпигунства під назвою REF5961. Цей бекдор, хоч і технічно простий, підтримує як прямий, так і зворотний канали керування за допомогою шифрування SSL. Він в першу чергу призначений для розвідки системи та полегшення доставки додаткових виконуваних файлів для дій після експлуатації.
Шпигунські операції та зв’язки з кластером Альфа
Пізніше розслідування показало, що модифікована версія EAGERBEE була застосована в кампаніях кібершпигунства, пов’язаних з китайською державною організацією, відомою як Cluster Alpha. Ця операція під кодовою назвою Багряний палац мала на меті отримати конфіденційну політичну та військову розвідку від високопоставленої урядової установи в Південно-Східній Азії.
Cluster Alpha демонструє збіги з іншими групами кібершпигунства, зокрема BackdoorDiplomacy , REF5961, Worok і TA428. Примітно, що BackdoorDiplomacy має спільні тактичні характеристики з CloudComputating (також називається Faking Dragon), китайськомовною організацією, пов’язаною з модульною системою зловмисного програмного забезпечення, відомою як QSC. Ця структура спостерігалася під час кібератак на телекомунікаційний сектор у Південній Азії.
Виконання в пам'яті та приховані можливості
QSC має модульну архітектуру, у якій лише початковий завантажувач зберігається на диску, а ядро та мережеві компоненти залишаються в пам’яті. Цей підхід дозволяє зловмисникам динамічно завантажувати плагіни відповідно до своїх цілей.
Під час останніх вторгнень EAGERBEE інжектор DLL виконує бекдор-модуль. Після активації бекдор збирає системні відомості та передає їх на віддалений сервер через TCP-сокет. Конкретний метод, використаний для отримання початкового доступу в цих інцидентах, залишається неясним.
Віддалений сервер реагує, розгортаючи Plugin Orchestrator, який отримує та повідомляє інформацію про систему, наприклад імена NetBIOS домену, статистику використання пам’яті та параметри локалі системи. Він також збирає дані про запущені процеси в очікуванні подальших інструкцій, зокрема:
- Введення плагінів у пам'ять
- Вивантаження окремих плагінів або видалення всіх зі списку
- Перевірка активності плагіна
Кожен плагін виконує команди оркестратора, обробляючи керування файлами, керування процесами, віддалене підключення, нагляд за системними службами та моніторинг мережевого з’єднання.
Використання вразливостей і постійних загроз
Дослідники виявили зараження EAGERBEE в багатьох організаціях у Східній Азії, принаймні два зломи пов’язані з уразливістю ProxyLogon (CVE-2021-26855). У цих випадках зловмисники розгорнули веб-оболонки для виконання команд на скомпрометованих серверах, що зрештою призвело до встановлення бекдору.
EAGERBEE працює переважно як резидентна структура пам’яті, дизайн, який значно покращує її здатність уникати виявлення звичайними інструментами безпеки. Впроваджуючи небезпечний код у законні процеси, він приховує свою діяльність командної оболонки, непомітно поєднуючись із звичайними системними функціями та ускладнюючи спроби виявити й проаналізувати його поведінку.