Phần mềm độc hại EAGERBEE

Một phiên bản cập nhật mới của nền tảng phần mềm độc hại EAGERBEE đã được phát hiện nhắm mục tiêu vào các Nhà cung cấp dịch vụ Internet (ISP) và các tổ chức chính phủ ở Trung Đông.

Phiên bản mới nhất này, còn được gọi là Thumtais, bao gồm một loạt các thành phần cho phép triển khai các tải trọng bổ sung, khám phá hệ thống tệp và thực thi shell lệnh. Những cải tiến này đánh dấu sự tiến bộ đáng kể về khả năng của nó.

Thiết kế mô-đun và các danh mục chức năng

Cửa sau dựa vào các plugin chính, có thể được nhóm lại dựa trên chức năng của chúng: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing và Service Management. Các nhà nghiên cứu an ninh mạng đã liên kết EAGERBEE với mức độ tin cậy trung bình với một nhóm đe dọa được gọi là CoughingDown.

Ban đầu, EAGERBEE có liên quan đến một nhóm gián điệp mạng do nhà nước tài trợ được chỉ định là REF5961. Cửa hậu này, mặc dù về mặt kỹ thuật là đơn giản, hỗ trợ cả kênh chỉ huy và điều khiển ngược và xuôi với mã hóa SSL. Nó chủ yếu được thiết kế để trinh sát hệ thống và tạo điều kiện thuận lợi cho việc phân phối các tệp thực thi bổ sung cho các hoạt động khai thác sau.

Hoạt động gián điệp và kết nối với cụm Alpha

Các cuộc điều tra sau đó cho thấy một phiên bản sửa đổi của EAGERBEE đã được triển khai trong các chiến dịch gián điệp mạng được cho là do một tác nhân đe dọa liên kết với nhà nước Trung Quốc có tên là Cluster Alpha thực hiện. Hoạt động này có tên mã là Crimson Palace, nhằm mục đích trích xuất thông tin tình báo chính trị và quân sự nhạy cảm từ một cơ quan chính phủ cấp cao ở Đông Nam Á.

Cluster Alpha có sự chồng chéo với các nhóm gián điệp mạng khác, bao gồm BackdoorDiplomacy , REF5961, Worok và TA428. Đáng chú ý, BackdoorDiplomacy có chung đặc điểm chiến thuật với CloudComputating (còn gọi là Faking Dragon), một thực thể nói tiếng Trung Quốc có liên kết với một khuôn khổ phần mềm độc hại mô-đun được gọi là QSC. Khuôn khổ này đã được quan sát thấy trong các cuộc tấn công mạng chống lại ngành viễn thông ở Nam Á.

Khả năng thực thi trong bộ nhớ và tàng hình

QSC tuân theo kiến trúc mô-đun trong đó chỉ có bộ tải ban đầu được lưu trữ trên đĩa, trong khi các thành phần lõi và mạng vẫn nằm trong bộ nhớ. Cách tiếp cận này cho phép kẻ tấn công tải các plugin dựa trên mục tiêu của chúng một cách động.

Trong các cuộc xâm nhập EAGERBEE gần đây nhất, một DLL injector thực thi mô-đun cửa hậu. Sau khi được kích hoạt, cửa hậu thu thập thông tin chi tiết về hệ thống và truyền chúng đến một máy chủ từ xa thông qua một socket TCP. Phương pháp cụ thể được sử dụng để có được quyền truy cập ban đầu trong các sự cố này vẫn chưa rõ ràng.

Máy chủ từ xa phản hồi bằng cách triển khai Plugin Orchestrator, thu thập và báo cáo các chi tiết hệ thống như tên miền NetBIOS, số liệu thống kê sử dụng bộ nhớ và cài đặt ngôn ngữ hệ thống. Nó cũng thu thập dữ liệu về các quy trình đang chạy trong khi chờ hướng dẫn tiếp theo, bao gồm:

  • Tiêm plugin vào bộ nhớ
  • Gỡ bỏ các plugin cụ thể hoặc xóa tất cả khỏi danh sách
  • Xác minh xem plugin có đang hoạt động không

Mỗi plugin thực thi các lệnh từ trình điều phối, xử lý quản lý tệp, kiểm soát quy trình, kết nối từ xa, giám sát dịch vụ hệ thống và theo dõi kết nối mạng.

Khai thác lỗ hổng và các mối đe dọa dai dẳng

Các nhà nghiên cứu đã xác định được các vụ nhiễm EAGERBEE trên nhiều tổ chức ở Đông Á, với ít nhất hai vụ vi phạm liên quan đến lỗ hổng ProxyLogon (CVE-2021-26855). Trong những trường hợp này, kẻ tấn công đã triển khai web shell để thực thi lệnh trên các máy chủ bị xâm phạm, cuối cùng dẫn đến việc cài đặt backdoor.

EAGERBEE hoạt động chủ yếu như một khuôn khổ lưu trú trong bộ nhớ, một thiết kế giúp tăng cường đáng kể khả năng tránh bị phát hiện bởi các công cụ bảo mật thông thường. Bằng cách đưa mã không an toàn vào các quy trình hợp lệ, nó che giấu các hoạt động của shell lệnh, hòa trộn liền mạch với các chức năng hệ thống bình thường và làm phức tạp thêm các nỗ lực phát hiện và phân tích hành vi của nó.

xu hướng

Xem nhiều nhất

Đang tải...