Los proveedores de servicios de Internet (ISP) y las entidades gubernamentales de Oriente Medio han sido atacados mediante una variante actualizada del marco de malware EAGERBEE.
La nueva variante de EAGERBEE (también conocida como Thumtais) viene equipado con varios componentes que permiten que la puerta trasera implemente cargas útiles adicionales, enumere sistemas de archivos y ejecute shells de comandos, lo que demuestra una evolución significativa.
“Los complementos clave se pueden clasificar en términos de su funcionalidad en los siguientes grupos: orquestador de complementos, manipulación del sistema de archivos, administrador de acceso remoto, exploración de procesos, listado de conexiones de red y gestión de servicios”, dijeron los investigadores de Kaspersky Saurabh Sharma y Vasily Berdnikov. dicho en un análisis.
La puerta trasera ha sido evaluada por la empresa rusa de ciberseguridad con un nivel de confianza medio para un grupo de amenazas llamado CoughingDown.
EAGERBEE fue documentado por primera vez por Elastic Security Labs, atribuyéndolo a un conjunto de intrusión patrocinado por el estado y centrado en el espionaje denominado REF5961. Una “puerta trasera técnicamente sencilla” con capacidades de cifrado C2 y SSL hacia adelante y hacia atrás, está diseñada para realizar una enumeración básica del sistema y entregar ejecutables posteriores para su posterior explotación.
Posteriormente, se observó una variante del malware en ataques de un grupo de amenazas alineado con el estado chino rastreado como Cluster Alpha como parte de una operación de ciberespionaje más amplia con nombre en código Crimson Palace con el objetivo de robar secretos militares y políticos sensibles de un gobierno de alto perfil. organización en el Sudeste Asiático.
El grupo Alpha, según Sophos, se superpone con grupos de amenazas rastreados como BackdoorDiplomacy, REF5961, Worok y TA428. Se sabe que BackdoorDiplomacy, por su parte, exhibe similitudes tácticas con otro grupo de habla china cuyo nombre en código es CloudComputating (también conocido como Faking Dragon), al que se le ha atribuido un marco de malware de múltiples complementos denominado QSC en ataques dirigidos a la industria de las telecomunicaciones en el sur de Asia.
“QSC es un marco modular, del cual sólo el cargador inicial permanece en el disco mientras que el núcleo y los módulos de red están siempre en la memoria”, Kaspersky anotado en noviembre de 2024. “El uso de una arquitectura basada en complementos brinda a los atacantes la capacidad de controlar qué complemento (módulo) cargar en la memoria según la demanda, según el objetivo de interés”.
En el último conjunto de ataques que involucran a EAGERBEE, se diseña una DLL de inyector para iniciar el módulo de puerta trasera, que luego se utiliza para recopilar información del sistema y filtrar los detalles a un servidor remoto al que se establece una conexión a través de un socket TCP.
Posteriormente, el servidor responde con un Plugin Orchestrator que, además de informar al servidor información relacionada con el sistema (por ejemplo, nombre NetBIOS del dominio; uso de memoria física y virtual; y configuración local y horaria del sistema), recopila detalles sobre los procesos en ejecución. y espera más instrucciones –
- Recibir e inyectar complementos en la memoria.
- Descargue un complemento específico de la memoria, elimine el complemento de la lista
- Eliminar todos los complementos de la lista
- Compruebe si el complemento está cargado o no
“Todos los complementos son responsables de recibir y ejecutar comandos del orquestador”, dijeron los investigadores, y agregaron que realizan operaciones de archivos, administran procesos, mantienen conexiones remotas, administran servicios del sistema y enumeran conexiones de red.
Kaspersky dijo que también observó la implementación de EAGERBEE en varias organizaciones del este de Asia, y dos de ellas fueron violadas utilizando la vulnerabilidad ProxyLogon (CVE-2021-26855) para eliminar shells web que luego se usaron para ejecutar comandos en los servidores, lo que finalmente condujo a la implementación de puerta trasera.
“Entre ellos se encuentra EAGERBEE, un marco de malware diseñado principalmente para operar en la memoria”, señalaron los investigadores. “Esta arquitectura residente en memoria mejora sus capacidades sigilosas, ayudándola a evadir la detección por parte de las soluciones tradicionales de seguridad de terminales”.
“EAGERBEE también oculta sus actividades de comando shell al inyectar código malicioso en procesos legítimos. Estas tácticas permiten que el malware se integre perfectamente con las operaciones normales del sistema, lo que hace que su identificación y análisis sean mucho más difíciles”.
About the Author
