Νέες παραλλαγές του Eagerbee malware framework στοχεύουν κυβερνητικούς οργανισμούς και παρόχους υπηρεσιών Διαδικτύου (ISP) στη Μέση Ανατολή.
Το συγκεκριμένο malware είχε χρησιμοποιηθεί στο παρελθόν από Κινέζους κρατικούς hackers, τους οποίους η Sophos παρακολουθούσε ως «Crimson Palace».
Σύμφωνα με μια νέα έκθεση της Kaspersky, το Eagerbee malware μπορεί να συνδέεται τώρα με μια ομάδα απειλών που οι ερευνητές την αποκαλούν «CoughingDown». Σε αυτό το συμπέρασμα κατέληξαν λαμβάνοντας υπόψη ομοιότητες στον κώδικα με άλλα malware και επικαλύψεις διευθύνσεων IP.
“Λαμβάνοντας υπόψη τη συνεπή δημιουργία υπηρεσιών την ίδια ημέρα, μέσω του ίδιου webshell για την εκτέλεση του EAGERBEE backdoor και του CoughingDown Core Module, και βλέποντας το C2 domain overlap μεταξύ του EAGERBEE και του CoughingDown Core Module, πιστεύουμε ότι το EAGERBEE backdoor μπορεί να σχετίζεται με την ομάδα απειλών CoughingDown“, εξηγεί η Kaspersky.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Δείτε επίσης: Οι hackers Cloud Atlas χρησιμοποιούν ευπάθεια Microsoft Office για διανομή backdoors
Eagerbee malware framework
Η Kaspersky δεν μπόρεσε να προσδιορίσει την αρχική μέθοδο παραβίασης στις επιθέσεις στη Μέση Ανατολή, αλλά δύο οργανισμοί της Ανατολικής Ασίας είχαν προηγουμένως παραβιαστεί μέσω της εκμετάλλευσης της ευπάθειας ProxyLogon (CVE-2021-26855) στο Microsoft Exchange.
Η επίθεση περιλαμβάνει την ανάπτυξη ενός injector (tsvipsrv.dll) που εγκαθίσταται στον κατάλογο system32 για τη φόρτωση του payload file (ntusers0.dat).
Κατά την εκκίνηση του συστήματος, τα Windows εκτελούν τον injector, ο οποίος στη συνέχεια κάνει κατάχρηση της υπηρεσίας «Themes», καθώς και των SessionEnv, IKEEXT και MSDTC, για να εγγράψει το backdoor payload στη μνήμη (χρησιμοποιώντας DLL hijacking).
Το Eagerbee backdoor μπορεί να ρυθμιστεί ώστε να εκτελείται σε συγκεκριμένες ώρες. Ωστόσο, η Kaspersky παρατήρησε ότι είχε ρυθμιστεί να εκτελείται 24/7 στις παρατηρούμενες επιθέσεις.
Το Eagerbee malware εμφανίζεται στο μολυσμένο σύστημα ως «dllloader1x64.dll» και αρχίζει αμέσως να συλλέγει βασικές πληροφορίες (π.χ. λεπτομέρειες λειτουργικού συστήματος και διευθύνσεις δικτύου).
Δείτε επίσης: Οι Κινέζοι hackers Winnti στοχεύουν άλλους hackers με το Glutton backdoor
Κατά την προετοιμασία, δημιουργεί ένα κανάλι TCP/SSL με τον διακομιστή εντολών και ελέγχου (C2), από όπου μπορεί να λάβει πρόσθετα plugins που επεκτείνουν τη λειτουργικότητά του. Τα plugins εισάγονται στη μνήμη από έναν plugin orchestrator (ssss.dll), ο οποίος διαχειρίζεται την εκτέλεσή τους.
Τα πέντε plugin orchestrator που εντόπισε η Kaspersky είναι:
- File Manager Plugin: Χειρίζεται τις λειτουργίες του συστήματος αρχείων (π.χ. καταχώριση, μετονομασία, μετακίνηση, αντιγραφή και διαγραφή αρχείων ή καταλόγων). Μπορεί να προσαρμόσει τα δικαιώματα αρχείων, να εισάγει πρόσθετα payloads στη μνήμη και να εκτελεί γραμμές εντολών.
- Process Manager Plugin: Διαχειρίζεται τις διαδικασίες του συστήματος παραθέτοντας διεργασίες που εκτελούνται, εκκινώντας νέες και τερματίζοντας τις υπάρχουσες.
- Remote Access Manager Plugin: Διευκολύνει την απομακρυσμένη πρόσβαση. Επίσης, πραγματοποιεί λήψη αρχείων από καθορισμένες διευθύνσεις URL και εισάγει command shells σε νόμιμες διαδικασίες για stealth.
- Network Manager Plugin: Παρακολουθεί και παραθέτει τις ενεργές συνδέσεις δικτύου, συλλέγοντας διάφορες λεπτομέρειες.
- Service Manager Plugin: Ελέγχει τις υπηρεσίες συστήματος δημιουργώντας, ξεκινώντας, σταματώντας, διαγράφοντας ή απαριθμώντας τις. Μπορεί να διαχειρίζεται τόσο standalone όσο και shared service processes ενώ συλλέγει service status details.
Συνολικά, το Eagerbee malware είναι μια κρυφή και επίμονη απειλή που έχει εκτεταμένες δυνατότητες σε παραβιασμένα συστήματα.
Οι οργανισμοί θα πρέπει να επιδιορθώσουν την ευπάθεια ProxyLogon σε όλους τους διακομιστές Exchange και να ελέγξουν τους δείκτες παραβίασης που αναφέρει η Kaspersky για να μειώσουν τις πιθανότητες μόλυνσης.
Δείτε επίσης: H DCOM επίθεση αξιοποιεί το Windows Installer για Backdoor πρόσβαση
Προστασία από backdoor (γενικά tips)
Οι οργανισμοί μπορούν να προστατεύσουν τα δίκτυά τους από backdoors, εφαρμόζοντας διάφορες στρατηγικές ασφάλειας. Καταρχάς, είναι σημαντικό να διατηρούν τα συστήματά τους ενημερωμένα. Αυτό σημαίνει ότι θα πρέπει να εγκαθιστούν τακτικά τις τελευταίες ενημερώσεις και διορθώσεις ασφαλείας σε όλα τα λειτουργικά συστήματα και τις εφαρμογές.
Επιπλέον, οι οργανισμοί πρέπει να χρησιμοποιούν λύσεις ασφάλειας που περιλαμβάνουν την ανίχνευση εισβολών και την προστασία από κακόβουλο λογισμικό. Αυτές οι λύσεις μπορούν να βοηθήσουν στην ανίχνευση και την αποτροπή των επιθέσεων.
Η εκπαίδευση του προσωπικού είναι επίσης κρίσιμη για την αποφυγή του backdoor. Οι εργαζόμενοι πρέπει να γνωρίζουν τους κινδύνους που συνδέονται με την κυβερνοασφάλεια και τις τακτικές που χρησιμοποιούν οι επιτιθέμενοι, όπως το phishing.
Τέλος, πρέπει να εφαρμόζεται η αρχή της ελάχιστης πρόσβασης. Αυτό σημαίνει ότι οι χρήστες και οι συσκευές πρέπει να έχουν μόνο τις απαραίτητες άδειες πρόσβασης που χρειάζονται για την εκτέλεση των καθηκόντων τους
Πηγή:www.bleepingcomputer.com