EAGERBEE-Malware
Es wurde beobachtet, dass eine neu aktualisierte Version des EAGERBEE-Malware-Frameworks gezielt Internetdienstanbieter (ISPs) und Regierungsorganisationen im Nahen Osten ins Visier nahm.
Diese neueste Version, auch als Thumtais bekannt, enthält eine Reihe von Komponenten, die es ermöglichen, zusätzliche Payloads bereitzustellen, Dateisysteme zu untersuchen und Befehlsshells auszuführen. Diese Verbesserungen stellen eine deutliche Verbesserung seiner Fähigkeiten dar.
Inhaltsverzeichnis
Modularer Aufbau und Funktionskategorien
Die Hintertür basiert auf wichtigen Plugins, die nach ihren Funktionen gruppiert werden können: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing und Service Management. Cybersicherheitsforscher haben EAGERBEE mit mittlerer Sicherheit einer Bedrohungsgruppe namens CoughingDown zugeordnet.
Ursprünglich wurde EAGERBEE mit einer staatlich geförderten Cyber-Spionagegruppe namens REF5961 in Verbindung gebracht. Diese Backdoor ist zwar technisch unkompliziert, unterstützt aber sowohl Vorwärts- als auch Rückwärts-Befehls- und Kontrollkanäle mit SSL-Verschlüsselung. Sie ist in erster Linie für die Systemaufklärung und die Bereitstellung zusätzlicher ausführbarer Dateien für Aktivitäten nach der Ausnutzung konzipiert.
Spionageoperationen und Verbindungen zum Cluster Alpha
Spätere Untersuchungen ergaben, dass eine modifizierte Version von EAGERBEE in Cyberspionagekampagnen eingesetzt wurde, die einem mit dem chinesischen Staat verbundenen Bedrohungsakteur namens Cluster Alpha zugeschrieben wurden. Diese Operation mit dem Codenamen Crimson Palace zielte darauf ab, vertrauliche politische und militärische Informationen von einer hochrangigen Regierungsbehörde in Südostasien zu erbeuten.
Cluster Alpha weist Überschneidungen mit anderen Cyber-Spionagegruppen auf, darunter BackdoorDiplomacy , REF5961, Worok und TA428. Insbesondere weist BackdoorDiplomacy taktische Gemeinsamkeiten mit CloudComputating (auch Faking Dragon genannt) auf, einer chinesischsprachigen Organisation, die mit einem modularen Malware-Framework namens QSC verbunden ist. Dieses Framework wurde bei Cyberangriffen auf den Telekommunikationssektor in Südasien beobachtet.
In-Memory-Ausführung und Stealth-Funktionen
QSC folgt einer modularen Architektur, bei der nur der anfängliche Loader auf der Festplatte gespeichert wird, während Kern- und Netzwerkkomponenten im Speicher verbleiben. Dieser Ansatz ermöglicht es Angreifern, Plugins dynamisch basierend auf ihren Zielen zu laden.
Bei den jüngsten EAGERBEE-Einbrüchen führt eine Injector-DLL das Backdoor-Modul aus. Nach der Aktivierung sammelt die Backdoor Systemdetails und überträgt sie über einen TCP-Socket an einen Remote-Server. Die spezifische Methode, die bei diesen Vorfällen zum ersten Zugriff verwendet wurde, bleibt unklar.
Der Remote-Server reagiert, indem er den Plugin Orchestrator einsetzt, der Systemdetails wie NetBIOS-Domänennamen, Speichernutzungsstatistiken und Systemgebietsschemaeinstellungen abruft und meldet. Außerdem sammelt er Daten zu laufenden Prozessen, während er auf weitere Anweisungen wartet, darunter:
- Einfügen von Plugins in den Speicher
- Bestimmte Plugins entladen oder alle aus der Liste löschen
- Überprüfen, ob ein Plugin aktiv ist
Jedes Plug-In führt Befehle vom Orchestrator aus und übernimmt die Dateiverwaltung, Prozesssteuerung, Remote-Konnektivität, Systemdienstüberwachung und Netzwerkverbindungsüberwachung.
Ausnutzung von Schwachstellen und anhaltende Bedrohungen
Forscher haben EAGERBEE-Infektionen in mehreren Organisationen in Ostasien festgestellt, wobei mindestens zwei Verstöße mit der ProxyLogon-Sicherheitslücke (CVE-2021-26855) in Verbindung stehen. In diesen Fällen setzten Angreifer Webshells ein, um Befehle auf kompromittierten Servern auszuführen, was letztendlich zur Installation der Hintertür führte.
EAGERBEE arbeitet hauptsächlich als speicherresidentes Framework, ein Design, das seine Fähigkeit, der Erkennung durch herkömmliche Sicherheitstools zu entgehen, erheblich verbessert. Indem es unsicheren Code in legitime Prozesse einschleust, verbirgt es seine Befehlsshell-Aktivitäten, fügt sich nahtlos in normale Systemfunktionen ein und erschwert die Bemühungen, sein Verhalten zu erkennen und zu analysieren.