Logiciel malveillant EAGERBEE

Une version récemment mise à jour du framework de malware EAGERBEE a été observée ciblant les fournisseurs de services Internet (FAI) et les organisations gouvernementales au Moyen-Orient.

Cette dernière itération, également connue sous le nom de Thumtais, comprend une gamme de composants qui lui permettent de déployer des charges utiles supplémentaires, d'explorer des systèmes de fichiers et d'exécuter des commandes shell. Ces améliorations marquent une avancée significative dans ses capacités.

Conception modulaire et catégories fonctionnelles

La porte dérobée s'appuie sur des plugins clés, qui peuvent être regroupés en fonction de leurs fonctions : Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing et Service Management. Les chercheurs en cybersécurité ont lié EAGERBEE avec une confiance moyenne à un groupe de menaces connu sous le nom de CoughingDown.

Au départ, EAGERBEE était associé à un groupe de cyberespionnage parrainé par un État, appelé REF5961. Cette porte dérobée, bien que techniquement simple, prend en charge les canaux de commande et de contrôle directs et inverses avec cryptage SSL. Elle est principalement conçue pour la reconnaissance du système et pour faciliter la livraison d'exécutables supplémentaires pour les activités post-exploitation.

Opérations d'espionnage et connexions avec le cluster Alpha

Des enquêtes ultérieures ont révélé qu'une version modifiée d'EAGERBEE avait été déployée dans des campagnes de cyberespionnage attribuées à un acteur malveillant affilié à l'État chinois connu sous le nom de Cluster Alpha. Cette opération, baptisée Crimson Palace, visait à extraire des renseignements politiques et militaires sensibles d'une agence gouvernementale de premier plan en Asie du Sud-Est.

Le cluster Alpha présente des similitudes avec d'autres groupes de cyberespionnage, notamment BackdoorDiplomacy , REF5961, Worok et TA428. BackdoorDiplomacy partage notamment des caractéristiques tactiques avec CloudComputating (également appelé Faking Dragon), une entité sinophone liée à un framework de malware modulaire connu sous le nom de QSC. Ce framework a été observé dans des cyberattaques contre le secteur des télécommunications en Asie du Sud.

Exécution en mémoire et capacités furtives

QSC suit une architecture modulaire dans laquelle seul le chargeur initial est stocké sur le disque, tandis que les composants principaux et réseau restent en mémoire. Cette approche permet aux attaquants de charger des plugins en fonction de leurs objectifs de manière dynamique.

Dans les intrusions les plus récentes d'EAGERBEE, une DLL d'injection exécute le module de porte dérobée. Une fois activée, la porte dérobée collecte les détails du système et les transmet à un serveur distant via un socket TCP. La méthode spécifique utilisée pour obtenir l'accès initial dans ces incidents reste floue.

Le serveur distant répond en déployant Plugin Orchestrator, qui récupère et signale les détails du système tels que les noms de domaine NetBIOS, les statistiques d'utilisation de la mémoire et les paramètres régionaux du système. Il collecte également des données sur les processus en cours d'exécution en attendant d'autres instructions, notamment :

  • Injection de plugins dans la mémoire
  • Décharger des plugins spécifiques ou effacer tout de la liste
  • Vérifier si un plugin est actif

Chaque plugin exécute les commandes de l'orchestrateur, gérant la gestion des fichiers, le contrôle des processus, la connectivité à distance, la surveillance des services système et la surveillance des connexions réseau.

Exploitation des vulnérabilités et des menaces persistantes

Des chercheurs ont identifié des infections EAGERBEE dans plusieurs organisations d'Asie de l'Est, avec au moins deux violations liées à la vulnérabilité ProxyLogon (CVE-2021-26855). Dans ces cas, les attaquants ont déployé des shells Web pour exécuter des commandes sur des serveurs compromis, ce qui a finalement conduit à l'installation de la porte dérobée.

EAGERBEE fonctionne principalement comme un framework résident en mémoire, une conception qui améliore considérablement sa capacité à échapper à la détection par les outils de sécurité conventionnels. En injectant du code non sécurisé dans des processus légitimes, il dissimule ses activités d'interpréteur de commandes, se mélangeant parfaitement aux fonctions normales du système et compliquant les efforts de détection et d'analyse de son comportement.

Tendance

Le plus regardé

Chargement...