Kaspersky araştırmacılarının EAGERBEE arka kapısına ilişkin araştırması, bu arka kapının Orta Doğu İSS’leri ve devlet kurumları içinde, çalışan hizmetlere arka kapıyı enjekte eden bir hizmet enjektörü de dahil olmak üzere yeni bileşenlerin dağıtımını ortaya çıkardı.
Kurulumdan sonra EAGERBEE, aşağıdaki gibi çeşitli işlevlere sahip eklentileri dağıtır:
- EAGERBEE, kurulumdan sonra çeşitli işlevlere sahip eklentileri dağıtır.
- Tüm eklentilerin operasyonlarını ve koordinasyonunu yönetir.
- Sistem içindeki dosyalara erişir ve bunları değiştirir.
- Sistemin uzaktan kontrolünü ve yönetimini kolaylaştırır.
- Sistem süreçleri hakkında bilgi toplar ve analiz eder.
- Etkin ağ bağlantılarını tanımlar ve listeler.
- Sistem hizmetlerini etkin bir şekilde kontrol eder ve yönetir.
Saldırı Nasıl Çalışır?
Saldırganlar başlangıçta bilinmeyen bir vektör aracılığıyla sistemi tehlikeye attı. Çalıştırmak için “SessionEnv” hizmetinden yararlanan bir hizmet enjektörü (“tsvipsrv.dll”) ve “ntusers0.dat” yükünü konuşlandırdılar. Bu, dosya özniteliklerinin değiştirilmesini ve kötü amaçlı DLL dosyasını yüklemek için hizmetin değiştirilmesini içeriyordu.
“ntusers0.dat” yükü, sistem bilgilerini toplayan, yapılandırmasını şifreleyen ve C2 sunucusuyla bağlantı kuran “EAGERBEE” arka kapısını içerir.
Başarılı bir bağlantının ardından arka kapı, C2 sunucusundan bir “Eklenti Orkestratörü” yükünü alır ve eklenti tabanlı bir mimari kullanan onu çalıştırır.
Çalışan işlemler ve ayrıcalıklar da dahil olmak üzere sistem bilgilerini toplayan ve bir komut ve kontrol (C2) sunucusuyla iletişim kuran çekirdek orkestratör DLL’si “ssss.dll” belleğe enjekte edilir.
Daha sonra C2 sunucusundan komutlar alır; bunun temel amacı, ekleme, başlatma ve yürütme için dışa aktarılan işlevlere sahip dinamik bağlantı kitaplıkları (DLL’ler) olan eklentileri yönetmektir.
Önemli eklentiler arasında, yüklerin listelenmesi, kopyalanması, silinmesi ve eklenmesi gibi dosya sistemi işlemlerini gerçekleştirebilen bir Dosya Yöneticisi ve süreçleri listeleyebilen, sonlandırabilen ve başlatabilen bir İşlem Yöneticisi bulunur.
Orkestratör, talep üzerine eklentileri yükleyip kaldırarak saldırganın arka kapının yeteneklerini dinamik olarak genişletmesine olanak tanır, bu da esnekliği ve gizliliği artırır ve saldırganın ele geçirilen sistemde çeşitli kötü amaçlı etkinlikler gerçekleştirmesine olanak tanır.
EAGERBEE arka kapısı, Exchange sunucularındaki ProxyLogon güvenlik açığından yararlanarak Doğu Asya’da konuşlandırıldı. Saldırganlar, uzaktan erişim kurmak, hizmetleri yönetmek ve sistem bilgilerini toplamak için Remote Access Manager, Service Manager ve Network Manager gibi eklentileri kullandı.
Hizmet manipülasyonu ve ayrıcalık yükseltme gibi tekniklerden yararlanarak EAGERBEE arka kapısı için yükleyici görevi gören CoughingDown grubuna bağlı bir oci.dll de dahil olmak üzere kötü amaçlı DLL’leri yüklemek için MSDTC, IKEEXT ve SessionEnv gibi meşru hizmetleri kötüye kullandılar.
Securelist’e göre, bellekte yerleşik bir tehdit, meşru süreçlere (örneğin, dllhost.exe) kod enjekte etmek ve kullanıcı oturumları içinde çalıştırmak gibi gizli tekniklerden yararlanıyor ve bu da tespit edilmesini engelliyor.
Tutarlı hizmet oluşturma ve C2 alanı çakışması gibi kanıtlar, bu durumlarda EAGERBEE ile CoughingDown tehdit grubu arasında bir bağlantı olduğunu göstermektedir.
Ancak, ilk enfeksiyon vektörü ve Orta Doğu’daki EAGERBEE konuşlandırmalarından sorumlu olan grup henüz belirlenemedi.
ANY.RUN Threat Intelligence Lookup - Extract Millions of IOC's for Interactive Malware Analysis: Try for Free
SOC/DFIR Ekipleri için IOC’ler
Servis Enjektörü
183f73306c2d1c7266a06247cedd3ee2
EAGERBEE arka kapı sıkıştırılmış dosyası
9d93528e05762875cf2d160f15554f44
EAGERBEE arka kapı sıkıştırmasını açma
c651412abdc9cf3105dfbafe54766c44
EAGERBEE arka kapı sıkıştırmasını açın ve düzeltin
26d1adb6d0bcc65e758edaf71a8f665d
Eklenti Orkestratörü
cbe0cca151a6ecea47cfaa25c3b1c8a8
35ece05b5500a8fc422cec87595140a7
Etki alanları ve IP’ler
62.233.57[.]94
82.118.21[.]230
194.71.107[.]215
151.236.16[.]167
www.sosyal eğlenceler[.]mağaza
www.rambiler[.]iletişim
5.34.176[.]46
195.123.242[.]120
195.123.217[.]139