Provajderi internetskih usluga (ISP) i vladini entiteti na Bliskom istoku su ciljani korištenjem ažurirane varijante okvira za zlonamjerni softver EAGERBEE.
Nova varijanta EAGERBEE (aka Thumtais ) dolazi opremljena raznim komponentama koje omogućavaju backdoor-u da implementira dodatni korisni teret, nabraja sistem datoteka i izvršava komandne školjke, demonstrirajući značajnu evoluciju.
“Ključni dodaci se mogu kategorizirati u smislu njihove funkcionalnosti u sljedeće grupe: Orkestrator dodataka, upravljanje sistemom datoteka, upravitelj udaljenog pristupa, istraživanje procesa, popis mrežnih veza i upravljanje uslugama”, rekli su istraživači Kaspersky Saurabh Sharma i Vasily Berdnikov u analiza.
Ruska kompanija za cyber sigurnost je sa srednjim povjerenjem procijenila backdoor grupi prijetnji pod nazivom CoughingDown.
EAGERBEE je prvi dokumentovao Elastic Security Labs, pripisujući ga skupu za upad koji sponzori država i koji je fokusiran na špijunažu, nazvan REF5961. “Tehnički jednostavan backdoor” sa mogućnošću komande i kontrole naprijed i nazad i SSL enkripcije, dizajniran je za obavljanje osnovnog nabrajanja sistema i isporuku naknadnih izvršnih datoteka za post-eksploataciju.
Nakon toga, varijanta malicioznog softvera uočena je u napadima kineskog klastera prijetnji usklađenog s državom praćenog kao Cluster Alpha kao dio šire operacije cyber špijunaže kodnog naziva Crimson Palace s ciljem da se ukradu osjetljive vojne i političke tajne od vlade visokog profila organizacije u jugoistočnoj Aziji.
Klaster Alpha, prema Sophosu, preklapa se sa grupama prijetnji koje se prate kao BackdoorDiplomacy, REF5961, Worok i TA428. BackdoorDiplomacy, sa svoje strane, poznato je da pokazuje taktičke sličnosti s drugom grupom koja govori kineski pod kodnim imenom CloudComputating (aka Faking Dragon), koja je pripisana okviru malicioznog softvera s više dodataka koji se naziva QSC u napadima usmjerenim na telekom industriju u Južnoj Aziji. .
„QSC je modularni okvir, od kojeg samo početni učitavač ostaje na disku, dok su jezgro i mrežni moduli uvijek u memoriji“, primijetio je Kaspersky još u novembru 2024. „Upotreba arhitekture zasnovane na dodacima daje napadačima mogućnost da kontroliraju koji dodatak (modul) za učitavanje u memoriju na zahtjev u zavisnosti od cilja koji vas zanima.”
U najnovijem nizu napada koji uključuju EAGERBEE, injektor DLL je dizajniran da pokrene backdoor modul, koji se zatim koristi za prikupljanje sistemskih informacija i eksfiltriranje detalja na udaljeni server sa kojim se uspostavlja veza preko TCP utičnice. Međutim, tačna početna ulazna tačka korištena u ovim upadima ostaje nepoznata u ovoj fazi.
Server zatim odgovara s Plugin Orchestratorom koji, pored prijavljivanja informacija u vezi sa sistemom serveru (npr. NetBIOS naziv domene; upotreba fizičke i virtuelne memorije; i postavke lokacije sistema i vremenske zone), prikuplja detalje o pokrenutim procesima i čeka dalje instrukcije –
- Primite i ubacite dodatke u memoriju
- Uklonite određeni dodatak iz memorije, uklonite dodatak sa liste
- Uklonite sve dodatke sa liste
- Provjerite je li dodatak učitan ili ne
“Svi dodaci su odgovorni za primanje i izvršavanje komandi od orkestratora”, rekli su istraživači, dodajući da obavljaju operacije sa datotekama, upravljaju procesima, održavaju udaljene veze, upravljaju sistemskim uslugama i navode mrežne veze.
Kaspersky je rekao da je takođe primijetio da je EAGERBEE raspoređen u nekoliko organizacija u istočnoj Aziji, a dvije od njih su provaljene korištenjem ranjivosti ProxyLogon (CVE-2021-26855) za ispuštanje web ljuski koje su se zatim koristile za izvršavanje komandi na serverima, što je na kraju dovelo do backdoor implementacija.
EAGERBEE je “okvir malicioznog softvera prvenstveno dizajniran za rad u memoriji”, istakli su istraživači. “Ova arhitektura rezidentna u memoriji poboljšava svoje stealth mogućnosti, pomažući joj da izbjegne otkrivanje tradicionalnim sigurnosnim rješenjima krajnjih tačaka.”
“EAGERBEE takođe prikriva svoje aktivnosti komandne ljuske ubacivanjem malicioznog koda u legitimne procese. Ove taktike omogućavaju da se zlonamerni softver neprimetno integriše sa normalnim sistemskim operacijama, što ga čini znatno izazovnijim za identifikaciju i analizu.”
Izvor:The Hacker News