Daha önce Orta Doğu ve Güneydoğu Asya’daki siber casusluk kampanyalarıyla bağlantılı olan gelişmiş bir arka kapı olan EAGERBEE kötü amaçlı yazılımı önemli güncellemelerden geçti.
Son araştırmalar, EAGERBEE’nin artık gelişmiş yük dağıtım yetenekleri ve komut kabuğu işlevlerine sahip olduğunu ortaya koyuyor ve bu da devlet kurumlarına ve ISP’lere yönelik artan tehdidine ilişkin endişeleri artırıyor.
EAGERBEE’nin en son sürümü, kötü amaçlı operasyonlarını desteklemek için tasarlanmış birkaç yeni bileşen sunuyor. En dikkate değer eklemeler arasında, kötü amaçlı yazılımın kendisini yasal Windows hizmetlerine yerleştirmesini sağlayan bir hizmet enjektörü yer alıyor.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Bu bileşen, tespit edilmekten kaçınmak için arka kapıyı belleğe enjekte ederek Temalar hizmeti gibi işlemleri hedefler.
Enjektör, servis kontrol işleyicilerini değiştirerek ve saplama kodunu çalıştırarak, gizliliği korurken arka kapının sorunsuz bir şekilde konuşlandırılmasını sağlar.
EAGERBEE kurulduktan sonra işlevlere göre kategorize edilmiş bir eklenti paketi dağıtır:
- Eklenti Orkestratörü: Ek eklentileri yönetir ve koordine eder.
- Dosya Sistemi Manipülasyonu: Dosyaların araştırılmasına ve değiştirilmesine olanak sağlar.
- Uzaktan Erişim Yönetimi: Etkilenen sistemlerin doğrudan kontrolünü kolaylaştırır.
- Süreç Araştırması: Çalışan işlemler hakkında ayrıntılı bilgi toplar.
- Ağ Bağlantısı Listesi: Keşif için aktif bağlantıları haritalar.
- Hizmet Yönetimi: Saldırganların sistem hizmetlerini değiştirmesine olanak tanır.
Bu eklentiler, EAGERBEE’nin casusluk yapma, veri sızdırma ve hedeflenen ağlarda kalıcılığı sürdürme yeteneğini toplu olarak geliştirir.
Güncellenen kötü amaçlı yazılımın önemli bir özelliği, komut kabuklarını uzaktan yürütme yeteneğidir.
Bu işlevsellik, saldırganların güvenliği ihlal edilmiş sistemler üzerinde doğrudan komutlar vermesine olanak tanıyarak keşif, yük yürütme ve sistem yapılandırma değişiklikleri gibi görevleri mümkün kılar.
Komut kabuklarının kullanılması, kötü amaçlı yazılımın farklı operasyonel senaryolara uyum sağlama konusundaki çok yönlülüğünün altını çiziyor.
İlk enfeksiyon vektörü belirsizliğini korurken, araştırmacılar saldırganların bir yük dosyası (*ntusers0.dat*) ile birlikte *tsvipsrv.dll* adlı bir arka kapı enjektöründen yararlandığını gözlemledi.
Bu bileşenler SessionEnv hizmeti aracılığıyla yürütülür. Arka kapı aktif hale geldiğinde NetBIOS adları, işletim sistemi ayrıntıları, işlemci mimarisi ve ağ adresleri dahil olmak üzere kapsamlı sistem bilgilerini toplar.
EAGERBEE ayrıca zamana dayalı yürütme kontrollerini de içerir. Ne zaman çalışılacağını belirlemek için sistemin gün ve saatini önceden tanımlanmış programlara göre kontrol eder, tespit risklerini en aza indirirken kritik dönemlerde aktif kalmasını sağlar.
Kötü amaçlı yazılım, hem IPv4 hem de IPv6 protokollerini kullanarak C2 sunucularıyla iletişim kurar. Yapılandırmaya bağlı olarak SCHANNEL güvenlik paketi aracılığıyla SSL şifreli oturumlar başlatabilir.
Bağlantıyı kolaylaştırmak için proxy ayarları kurbanın kayıt defterinden alınır. Bağlantı kurulduktan sonra EAGERBEE, toplanan sistem verilerini iletir ve Eklenti Orkestratörü (*ssss.dll*) gibi ek yükleri alır.
Eklenti Orkestratörü, diğer eklentileri yönetmek için merkezi bir merkez görevi görür. C2 sunucusuna geri bildirimde bulunmadan önce etki alanı adları, bellek kullanım istatistikleri, yerel ayarlar ve işlem tanımlayıcıları gibi ek verileri toplar.
Ayrıca yüklenen eklentileri tanımlar ve mevcut işlemin yükseltilmiş ayrıcalıklara sahip olup olmadığını değerlendirir.
Analiz, EAGERBEE ile *CoughingDown* tehdit grubu arasındaki potansiyel bağlantıları ortaya koyuyor. Ek olarak, taktik ve altyapıdaki örtüşmeler, APT27 (LuckyMouse) gibi Çin devleti destekli aktörlerle bağlantılara işaret ediyor.
EAGERBEE’yi kullanan önceki kampanyalar ASEAN hükümetlerini ve Orta Doğu kuruluşlarını hedef alıyordu, bu da jeopolitik casusluğa odaklanıldığını gösteriyor.
EAGERBEE’ye yapılan güncellemeler, onun gelişmiş sömürü sonrası faaliyetlere sahip daha güçlü bir tehdide dönüştüğünü vurguluyor.
Yükleri dinamik olarak konuşlandırma, komut kabuklarını yürütme ve hizmet ekleme yoluyla tespitten kaçma yeteneği, savunmacılar için önemli zorluklar teşkil ediyor.
Kuruluşların, olağandışı hizmet faaliyetlerini izleyerek, sağlam uç nokta koruma önlemleri uygulayarak ve güvenlik açıklarına zamanında yama uygulanmasını sağlayarak savunmalarını güçlendirmeleri isteniyor.
EAGERBEE gelişmeye devam ettikçe, proaktif tehdit avcılığı ve istihbarat paylaşımı, bunun etkisini azaltmada kritik öneme sahip olacaktır.
Siber güvenlik uzmanları, bu gelişmenin ileri düzey tehdit aktörlerinin hassas veri ve stratejik avantaj peşindeki ısrarlı inovasyonunun altını çizdiği konusunda uyarıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!