EAGERBEE 惡意軟體

據觀察，新更新版本的 EAGERBEE 惡意軟體框架針對中東的網路服務供應商 (ISP) 和政府組織。

這個最新的迭代，也稱為 Thumtais，包括一系列元件，使其能夠部署額外的有效負載、探索檔案系統和執行命令 shell。這些增強標誌著其功能的重大進步。

模組化設計和功能類別

此後門依賴關鍵插件，這些插件可以根據其功能進行分組：插件編排器、檔案系統操作、遠端存取管理器、進程探索、網路連接清單和服務管理。網路安全研究人員將中等可信度的 EAGERBEE 與名為 CoughingDown 的威脅組織聯繫起來。

最初，EAGERBEE 與一個名為 REF5961 的國家資助的網路間諜組織有關聯。此後門雖然技術上很簡單，但支援使用 SSL 加密的正向和反向命令和控制通道。它主要設計用於系統偵察，並促進為利用後活動交付額外的可執行文件。

間諜活動和與 Alpha 集群的連接

後來的調查顯示，EAGERBEE 的修改版本被部署在網路間諜活動中，該活動歸因於中國國家級威脅組織 Cluster Alpha。這次行動代號為“猩紅宮”，旨在從東南亞一個備受矚目的政府機構中獲取敏感的政治和軍事情報。

Cluster Alpha 與其他網路間諜組織有重疊，包括BackdoorDiplomacy 、REF5961、Worok 和 TA428。值得注意的是，BackdoorDiplomatic 與 CloudComputating（也稱為 Faking Dragon）具有相同的戰術特徵，CloudComputating 是一個與稱為 QSC 的模組化惡意軟體框架相關聯的中文實體。在針對南亞電信部門的網路攻擊中觀察到了這個框架。

記憶體中執行和隱形功能

QSC 遵循模組化架構，其中僅初始載入程式儲存在磁碟上，而核心和網路元件保留在記憶體中。這種方法允許攻擊者根據其目標動態載入插件。

在最近的 EAGERBEE 入侵中，注入器 DLL 執行後門模組。一旦激活，後門就會收集系統詳細資訊並透過 TCP 套接字將其傳輸到遠端伺服器。在這些事件中用於獲得初步存取權限的具體方法仍不清楚。

遠端伺服器透過部署 Plugin Orchestrator 進行回應，該插件會檢索並報告系統詳細信息，例如網域 NetBIOS 名稱、記憶體使用統計資訊和系統區域設定。它還收集正在運行的進程的數據，同時等待進一步的指令，包括：

• 將插件注入內存
• 卸載特定插件或從清單中清除所有插件
• 驗證插件是否處於活動狀態

每個插件執行來自協調器的命令，處理文件管理、進程控制、遠端連接、系統服務監督和網路連接監控。

利用漏洞和持續威脅

研究人員在東亞多個組織中發現了 EAGERBEE 感染，其中至少有兩起漏洞與 ProxyLogon 漏洞 (CVE-2021-26855) 相關。在這些情況下，攻擊者部署 Web shell 在受感染的伺服器上執行命令，最終導致後門的安裝。

EAGERBEE 主要作為記憶體駐留框架運行，這種設計顯著增強了其逃避傳統安全工具偵測的能力。透過將不安全程式碼注入合法進程，它隱藏了其命令外殼活動，與正常系統功能無縫融合，並使檢測和分析其行為的工作變得複雜。