EAGERBEE 恶意软件
据观察,EAGERBEE 恶意软件框架的最新更新版本针对中东的互联网服务提供商 (ISP) 和政府组织。
最新版本也称为 Thumtais,包含一系列组件,使其能够部署额外的有效载荷、探索文件系统和执行命令 shell。这些增强功能标志着其功能的重大进步。
目录
模块化设计和功能类别
该后门依赖于关键插件,这些插件可根据其功能进行分组:插件编排器、文件系统操作、远程访问管理器、进程探索、网络连接列表和服务管理。网络安全研究人员已将 EAGERBEE 与名为 CoughingDown 的威胁组织联系起来,且可信度较高。
最初,EAGERBEE 与一个由政府支持的网络间谍组织 REF5961 有关。这个后门虽然技术上很简单,但支持使用 SSL 加密的正向和反向命令和控制通道。它主要用于系统侦察,并有助于为后期开发活动提供额外的可执行文件。
间谍行动和与 Alpha 集群的联系
后来的调查显示,EAGERBEE 的修改版本被部署在网络间谍活动中,该活动归因于一个与中国政府有关联的威胁行为者 Cluster Alpha。这项代号为 Crimson Palace 的行动旨在从东南亚一家知名政府机构窃取敏感的政治和军事情报。
Cluster Alpha 与其他网络间谍组织有重叠,包括BackdoorDiplomacy 、REF5961、Worok 和 TA428。值得注意的是,BackdoorDiplomacy 与 CloudComputating(也称为 Faking Dragon)有相同的战术特征,CloudComputating 是一个讲中文的实体,与名为 QSC 的模块化恶意软件框架有关。该框架曾在针对南亚电信行业的网络攻击中被发现。
内存执行和隐身功能
QSC 采用模块化架构,其中只有初始加载程序存储在磁盘上,而核心和网络组件则保留在内存中。这种方法允许攻击者根据其目标动态加载插件。
在最近的 EAGERBEE 入侵中,注入器 DLL 执行后门模块。一旦激活,后门就会收集系统详细信息并通过 TCP 套接字将其传输到远程服务器。在这些事件中,获取初始访问权限的具体方法仍不清楚。
远程服务器通过部署插件编排器进行响应,插件编排器会检索并报告系统详细信息,例如域 NetBIOS 名称、内存使用情况统计信息和系统区域设置。它还会在等待进一步指令时收集正在运行的进程的数据,包括:
- 将插件注入内存
- 卸载特定插件或清除列表中的所有插件
- 验证插件是否处于活动状态
每个插件执行来自编排器的命令,处理文件管理、进程控制、远程连接、系统服务监督和网络连接监控。
利用漏洞和持续威胁
研究人员发现东亚多个组织都感染了 EAGERBEE,其中至少有两起入侵事件与 ProxyLogon 漏洞 (CVE-2021-26855) 有关。在这些案例中,攻击者部署了 Web Shell 在受感染的服务器上执行命令,最终导致后门安装。
EAGERBEE 主要以内存驻留框架的形式运行,这种设计大大增强了其逃避传统安全工具检测的能力。通过将不安全的代码注入合法进程,它可以隐藏其命令 shell 活动,与正常系统功能无缝融合,使检测和分析其行为变得困难。