Orta Doğu’daki İnternet servis sağlayıcıları (İSS’ler) ve devlet kurumları, EAGERBEE kötü amaçlı yazılım çerçevesinin güncellenmiş bir versiyonu kullanılarak hedef alındı.
EAGERBEE’nin yeni çeşidi (aka Thumtais) arka kapının ek yükleri dağıtmasına, dosya sistemlerini numaralandırmasına ve komut kabuklarını yürütmesine olanak tanıyan çeşitli bileşenlerle donatılmış olarak gelir ve bu da önemli bir gelişmeyi gösterir.
Kaspersky araştırmacıları Saurabh Sharma ve Vasily Berdnikov, “Önemli eklentiler, işlevleri açısından şu gruplara ayrılabilir: Eklenti Orkestratörü, Dosya Sistemi Düzenleme, Uzaktan Erişim Yöneticisi, Süreç Araştırma, Ağ Bağlantısı Listeleme ve Hizmet Yönetimi.” söz konusu bir analizde.
Arka kapı, Rus siber güvenlik şirketi tarafından CoughingDown adlı bir tehdit grubuna orta düzeyde güvenle değerlendirildi.
EAGERBEE ilk olarak Elastic Security Labs tarafından, REF5961 adı verilen devlet destekli ve casusluk odaklı bir izinsiz giriş setine atfedilerek belgelendi. İleri ve geri komut ve kontrol ve SSL şifreleme yeteneklerine sahip “teknik olarak basit bir arka kapı” olan bu kapı, temel sistem numaralandırmasını yürütmek ve kullanım sonrası için sonraki yürütülebilir dosyaları sunmak üzere tasarlanmıştır.
Daha sonra, yüksek profilli bir hükümetin hassas askeri ve siyasi sırlarını çalmak amacıyla kod adı Crimson Palace olan daha geniş bir siber casusluk operasyonunun parçası olarak Cluster Alpha olarak takip edilen, Çin devleti ile uyumlu bir tehdit kümesinin saldırılarında kötü amaçlı yazılımın bir çeşidi gözlemlendi. Güneydoğu Asya’daki örgüt.
Sophos’a göre Cluster Alpha, BackdoorDiplomacy, REF5961, Worok ve TA428 olarak takip edilen tehdit gruplarıyla örtüşüyor. BackdoorDiplomacy’nin, Güney Asya’daki telekom endüstrisini hedef alan saldırılarda QSC olarak adlandırılan çoklu eklentili kötü amaçlı yazılım çerçevesine atfedilen CloudComputating (diğer adıyla Faking Dragon) kod adlı Çince konuşan başka bir grupla taktiksel benzerlikler sergilediği biliniyor. .
Kaspersky, “QSC, yalnızca ilk yükleyicinin diskte kaldığı, çekirdek ve ağ modüllerinin ise her zaman bellekte olduğu modüler bir çerçevedir.” not edildi Kasım 2024’te. “Eklenti tabanlı bir mimari kullanmak, saldırganlara ilgilendikleri hedefe bağlı olarak talep üzerine belleğe hangi eklentinin (modülün) yükleneceğini kontrol etme yeteneği verir.”
EAGERBEE’yi içeren en son saldırı dizisinde, arka kapı modülünü başlatmak için bir enjektör DLL’si tasarlandı; bu modül daha sonra sistem bilgilerini toplamak ve ayrıntıları bir TCP soketi aracılığıyla bağlantı kurulan uzak bir sunucuya sızdırmak için kullanıldı. Ancak bu izinsiz girişlerde kullanılan tam başlangıç giriş noktası bu aşamada bilinmiyor.
Sunucu daha sonra, sunucuya sistemle ilgili bilgileri (örneğin, etki alanının NetBIOS adı; fiziksel ve sanal bellek kullanımı ve sistem yerel ayarı ve saat dilimi ayarları) raporlamanın yanı sıra, çalışan işlemlerle ilgili ayrıntıları toplayan bir Eklenti Orkestratörü ile yanıt verir. ve daha fazla talimat bekliyor –
- Eklentileri alın ve belleğe enjekte edin
- Belirli bir eklentiyi bellekten kaldırın, eklentiyi listeden kaldırın
- Listedeki tüm eklentileri kaldır
- Eklentinin yüklü olup olmadığını kontrol edin
Araştırmacılar, “Tüm eklentiler orkestratörden komut almak ve yürütmekten sorumludur” dedi ve bunların dosya işlemlerini gerçekleştirdiklerini, süreçleri yönettiklerini, uzak bağlantıları sürdürdüklerini, sistem hizmetlerini yönettiklerini ve ağ bağlantılarını listelediklerini ekledi.
Kaspersky, EAGERBEE’nin Doğu Asya’daki çeşitli kuruluşlarda konuşlandırıldığını da gözlemlediğini, bunlardan ikisinin ProxyLogon güvenlik açığını (CVE-2021-26855) kullanarak ihlal edildiğini ve daha sonra sunucularda komutları yürütmek için kullanılan web kabuklarını düşürdüğünü ve sonuçta arka kapı dağıtımı.
Araştırmacılar, EAGERBEE’nin “öncelikle bellekte çalışmak üzere tasarlanmış bir kötü amaçlı yazılım çerçevesi” olduğuna dikkat çekti. “Bu bellekte yerleşik mimari, gizlilik yeteneklerini geliştirerek geleneksel uç nokta güvenlik çözümlerinin tespitinden kaçmasına yardımcı oluyor.”
“EAGERBEE ayrıca meşru süreçlere kötü amaçlı kod enjekte ederek komut kabuğu faaliyetlerini de gizliyor. Bu taktikler, kötü amaçlı yazılımın normal sistem işlemleriyle sorunsuz bir şekilde bütünleşmesine olanak tanıyarak, tanımlanmasını ve analiz edilmesini önemli ölçüde zorlaştırıyor.”
