Bilinmeyen bir saldırgan, güncellenmiş bir sürümünü kullanıyor. arka kapı Daha önce hedefli saldırılarda yüksek profilli Güneydoğu Asya kuruluşlarına, bu kez Orta Doğu’daki ISP’lere ve devlet kurumlarına karşı kullanılan kötü amaçlı yazılım.
Kaspersky’deki araştırmacılar, kötü amaçlı yazılım çerçevesinde önemli bir evrimi gösteren saldırılarda, EagerBee arka kapısının çeşitli yeni bileşenlerle donatılmış yeni bir versiyonunu tespit etti. ortaya çıkardılar bugün yayınlanan bir blog yazısında.
Kaspersky’ye göre EagerBee, öncelikle gizlilik yeteneklerini geliştirmek ve geleneksel uç nokta güvenlik çözümlerinin tespitinden kaçmasına yardımcı olmak için bellekte çalışacak şekilde tasarlandı. Explorer.exe veya hedeflenen kullanıcının oturumu bağlamında yürütülen meşru işlemlere kötü amaçlı kod enjekte ederek komut kabuğu etkinliklerini gizlemesi açısından da benzersizdir.
Kaspersky kıdemli güvenlik araştırmacısı Saurabh Sharma, gönderisinde şunları yazdı: “Bu taktikler, kötü amaçlı yazılımın normal sistem işlemleriyle sorunsuz bir şekilde entegre olmasına olanak tanıyarak tespit edilmesini ve analiz edilmesini önemli ölçüde zorlaştırıyor.”
Kötü amaçlı yazılımın önceki bir çeşidi, daha önce işbirliği yapan Çin devletine bağlı tehdit kümelerinin üçlüsünün saldırılarında görüldü. Kızıl Saray Operasyonu Güneydoğu Asya’daki yüksek profilli bir hükümet kuruluşundan hassas askeri ve siyasi sırları çalmak.
Orta Doğu saldırılarında kullanılan EagerBee’nin en son sürümü, arka kapıyı çalışan bir hizmete enjekte etmek için tasarlanmış yeni bir hizmet enjektörü ve arka kapı açıldıktan sonra konuşlandırılabilen daha önce belgelenmemiş bir dizi eklenti dahil olmak üzere birçok yeni gelişmiş özelliğe sahiptir. kurulum.
Sharma, “Bunlar, ek yüklerin dağıtılması, dosya sistemlerinin araştırılması, komut kabuklarının çalıştırılması ve daha fazlası gibi bir dizi kötü amaçlı aktiviteye olanak sağladı” diye yazdı.
EagerBee’nin Arkasındaki Siber Saldırganlar Kimlerdir?
Önceki araştırmacılar EagerBee’yi Çinli tehdit grubuna atfetmişti Demir Kaplan (aka Emissary Panda veya APT27), çok sayıda gruptan biri sıklıkla işbirliği yapmak Çin destekli diğer devlet destekli aktörlerle; bu, hem saldırılara hem de kötü amaçlı yazılımlara ilişkin spesifik atıfları belirsiz hale getirme eğilimindedir.
Tipik bir örnek: Kaspersky’nin Orta Doğu’da konuşlandırılan arka kapıya ilişkin son analizi, EagerBee’yi farklı bir Çinli aktör olan CoughingDown’a atfediyor. Sharma’ya göre araştırmacıların analiz ettiği saldırılardan birinde EagerBee ve CoughingDown Çekirdek Modülünü çalıştırmak için aynı gün içinde aynı Web kabuğu aracılığıyla hizmetler yaratıldı. Ayrıca araştırmacılar, saldırıda hem EagerBee hem de CoughingDown Çekirdek Modülü tarafından kullanılan komuta ve kontrol (C2) alanında örtüşme gözlemledi.
Sharma’ya göre, Orta Doğu saldırılarında EagerBee’yi CoughingDown’a bağlayan diğer kanıtlar arasında, saldırıda kullanılan kötü amaçlı bir DLL dosyasındaki kod çakışması ile CoughingDown tarafından Eylül 2020’nin sonlarında geliştirilen çoklu eklentili kötü amaçlı yazılım yer alıyor. “EagerBee arka kapısının CoughingDown tehdit grubuyla ilişkili olduğunu orta derecede güvenle değerlendiriyoruz” diye yazdı.
EagerBee Arka Kapı Kötü Amaçlı Yazılımının Gelişmiş Özellikleri
Kaspersky ekibi, EagerBee’nin, çeşitli kötü amaçlı etkinlikleri gerçekleştiren komutları yürütmek üzere bir eklenti orkestratör modülü tarafından çalıştırılan önemli yeni eklenti özelliklerini belirledi.
Orkestratör, modülü belleğe enjekte etmekten ve ardından giriş noktasını çağırmaktan sorumlu tek bir yöntemi dışarı aktarır. Bu eklenti, kötü amaçlı yazılım tarafından toplanan kurbana özel verilere ek olarak, etkilenen sistem hakkında mevcut fiziksel ve sanal bellek kullanımı, sistem yerel ayarı ve saat dilimi ayarları ve Windows karakter kodlaması gibi diğer çeşitli bilgileri de toplar ve rapor eder. C2 sunucusuna.
Bu bilgiyi ilettikten sonra eklenti orkestratörü, mevcut işlemin yükseltilmiş ayrıcalıklara sahip olup olmadığını da rapor eder ve ardından sistem üzerinde çalışan tüm işlemlerle ilgili ayrıntıları toplar. Bilgi gönderildikten sonra eklenti orkestratörü, çeşitli arka kapı eklentileri tarafından gerçekleştirilen komutların yürütülmesini bekler.
Bunlar arasında, diğer şeylerin yanı sıra dosyaları yeniden adlandırma, taşıma, kopyalama ve silme işlemlerinden sorumlu olan bir dosya yöneticisi eklentisi; sisteme dosya okumak ve sistemden dosya yazmak; ve belleğe ek yüklerin eklenmesi. Başka bir süreç yöneticisi eklentisi, sistemde çalışan işlemleri listeler; yeni modülleri başlatır ve komut satırlarını çalıştırır; ve mevcut süreçleri sonlandırır.
Yeni versiyonda bulunan diğer iki eklenti arasında, uzak bağlantıları kolaylaştıran ve sürdüren, aynı zamanda komut kabuğu erişimi sağlayan bir uzaktan erişim yöneticisi ve sistem hizmetlerini kurma, başlatma, durdurma, silme ve listeleme dahil olmak üzere yöneten bir hizmet yöneticisi yer alıyor.
Kötü Amaçlı Yazılım Gelişmişliği Siber Savunucuların Dikkatli Olmasını Gerektirir
CoughingDown ile olan bağlantılara rağmen Kaspersky araştırmacıları, EagerBee’nin dağıtımı için ilk enfeksiyon vektörünü belirleyemedi.
Asya’da arka kapıyı kullanan önceki saldırılarda, saldırganlar artık meşhur olan Exchange ProxyLogon kusuru ilk giriş noktası olarak; ancak Kaspersky’e göre buradaki saldırılarda buna dair bir kanıt yok. Ancak Sharma, “saldırganlar arasında Exchange sunucularına yetkisiz erişim elde etmek için popüler bir istismar yöntemi olmayı sürdürdüğü” için araştırmacıların yine de savunucuların ağ çevrelerini güvence altına almak için ProxyLogon’a derhal yama yapmalarını tavsiye ettiğini belirtti.
Genel olarak, Orta Doğu’daki saldırılarda EagerBee’nin güçlendirilmiş bir versiyonunun ortaya çıkması, saldırganların hem tespitten kaçma yeteneği hem de elde edebilecekleri kötü amaçlı işlevsellik açısından kötü amaçlı yazılım çerçevelerini nasıl geliştirmeye devam ettiklerini gösteriyor ve kuruluşların güvenliklerini de artırmalarını talep ediyor oyun dedi.