脅威データベース マルウェア EAGERBEE マルウェア

EAGERBEE マルウェア

EAGERBEE マルウェア フレームワークの新しく更新されたバージョンが、中東のインターネット サービス プロバイダー (ISP) と政府機関を標的にしていることが確認されました。

この最新版は Thumtais とも呼ばれ、追加のペイロードを展開し、ファイル システムを探索し、コマンド シェルを実行できるようにするさまざまなコンポーネントが含まれています。これらの機能強化により、その機能は大幅に向上しています。

モジュラー設計と機能カテゴリ

このバックドアは、プラグイン オーケストレーター、ファイル システム操作、リモート アクセス マネージャー、プロセス探索、ネットワーク接続リスト、サービス管理といった機能に基づいてグループ化できる主要なプラグインに依存しています。サイバー セキュリティ研究者は、中程度の確信度で EAGERBEE を CoughingDown と呼ばれる脅威グループに関連付けています。

当初、EAGERBEE は、REF5961 と名付けられた国家支援のサイバースパイグループと関連付けられていました。このバックドアは、技術的には単純ですが、SSL 暗号化による順方向および逆方向のコマンド アンド コントロール チャネルをサポートしています。これは主に、システム偵察と、エクスプロイト後のアクティビティのための追加の実行可能ファイルの配信を容易にするように設計されています。

スパイ活動とクラスターアルファへの接続

その後の調査で、Cluster Alpha として知られる中国政府系の脅威アクターによるサイバースパイ活動に、EAGERBEE の修正版が使用されたことが明らかになりました。この活動はコードネーム Crimson Palace と呼ばれ、東南アジアの著名な政府機関から機密の政治および軍事情報を引き出すことを目的としていました。

Cluster Alpha は、 BackdoorDiplomacy 、REF5961、Worok、TA428 などの他のサイバースパイグループと重複しています。特に、BackdoorDiplomacy は、QSC として知られるモジュール型マルウェアフレームワークにリンクされている中国語圏の組織である CloudComputating (別名 Faking Dragon) と戦術的特徴を共有しています。このフレームワークは、南アジアの通信業界に対するサイバー攻撃で確認されています。

インメモリ実行とステルス機能

QSC は、初期ローダーのみがディスクに保存され、コアとネットワーク コンポーネントがメモリに残るモジュール アーキテクチャを採用しています。このアプローチにより、攻撃者は目的に応じてプラグインを動的にロードできます。

最近の EAGERBEE 侵入では、インジェクター DLL がバックドア モジュールを実行します。バックドアはアクティブになると、システムの詳細情報を収集し、TCP ソケット経由でリモート サーバーに送信します。これらのインシデントで最初のアクセスを取得するために使用された具体的な方法は不明です。

リモート サーバーは、プラグイン オーケストレーターを展開して応答します。プラグイン オーケストレーターは、ドメイン NetBIOS 名、メモリ使用統計、システム ロケール設定などのシステムの詳細を取得して報告します。また、次の指示を待機している間に、実行中のプロセスに関するデータも収集します。

  • プラグインをメモリに注入する
  • 特定のプラグインをアンロードするか、リストからすべてをクリアする
  • プラグインがアクティブかどうかを確認する

各プラグインはオーケストレーターからのコマンドを実行し、ファイル管理、プロセス制御、リモート接続、システム サービスの監視、ネットワーク接続の監視を処理します。

脆弱性の悪用と持続的な脅威

研究者らは、東アジアの複数の組織で EAGERBEE 感染が確認されており、少なくとも 2 件の侵害が ProxyLogon の脆弱性 (CVE-2021-26855) に関連していることがわかりました。これらのケースでは、攻撃者は Web シェルを展開して侵害したサーバー上でコマンドを実行し、最終的にバックドアのインストールに至りました。

EAGERBEE は主にメモリ常駐フレームワークとして動作し、従来のセキュリティ ツールによる検出を回避する能力を大幅に強化する設計になっています。正当なプロセスに危険なコードを挿入することで、コマンド シェルのアクティビティを隠し、通常のシステム機能とシームレスに融合し、その動作を検出して分析する作業を複雑にします。

トレンド

最も見られました

読み込んでいます...