Penyedia layanan internet (ISP) dan entitas pemerintah di Timur Tengah telah menjadi sasaran menggunakan varian terbaru dari kerangka malware EAGERBEE.
Varian baru EAGERBEE (alias Thumtais) dilengkapi dengan berbagai komponen yang memungkinkan pintu belakang menyebarkan muatan tambahan, menghitung sistem file, dan menjalankan perintah shell, yang menunjukkan evolusi yang signifikan.
“Plugin utama dapat dikategorikan berdasarkan fungsinya ke dalam kelompok berikut: Plugin Orchestrator, Manipulasi Sistem File, Manajer Akses Jarak Jauh, Eksplorasi Proses, Daftar Koneksi Jaringan, dan Manajemen Layanan,” kata peneliti Kaspersky Saurabh Sharma dan Vasily Berdnikov dalam sebuah pernyataan. analisa.
Pintu belakang telah dinilai oleh perusahaan keamanan siber Rusia dengan tingkat kepercayaan sedang terhadap kelompok ancaman bernama CoughingDown.
EAGERBEE pertama kali didokumentasikan oleh Elastic Security Labs, menghubungkannya dengan rangkaian intrusi yang disponsori negara dan berfokus pada spionase yang dijuluki REF5961. Sebuah “pintu belakang yang secara teknis mudah” dengan kemampuan enkripsi C2 dan SSL maju dan mundur, dirancang untuk melakukan enumerasi sistem dasar dan mengirimkan executable berikutnya untuk pasca-eksploitasi.
Selanjutnya, varian malware tersebut diamati dalam serangan oleh kelompok ancaman yang selaras dengan negara Tiongkok yang dilacak sebagai Cluster Alpha sebagai bagian dari operasi spionase dunia maya yang lebih luas dengan nama sandi Crimson Palace dengan tujuan untuk mencuri rahasia militer dan politik sensitif dari pemerintah tingkat tinggi. organisasi di Asia Tenggara.
Cluster Alpha, menurut Sophos, tumpang tindih dengan cluster ancaman yang dilacak sebagai BackdoorDiplomacy, REF5961, Worok, dan TA428. BackdoorDiplomacy, pada bagiannya, diketahui menunjukkan kesamaan taktis dengan kelompok berbahasa Tiongkok lainnya dengan nama sandi CloudComputating (alias Faking Dragon), yang mengaitkan kerangka kerja malware multi-plugin yang disebut QSC dalam serangan yang menargetkan industri telekomunikasi di Asia Selatan.
“QSC adalah kerangka kerja modular, yang hanya pemuat awal yang tersisa di disk sementara modul inti dan jaringan selalu ada di memori,” kata Kaspersky pada November 2024. “Menggunakan arsitektur berbasis plugin memberi penyerang kemampuan untuk mengontrol plugin mana (modul) untuk dimuat ke dalam memori sesuai permintaan tergantung pada target yang diinginkan.”
Dalam rangkaian serangan terbaru yang melibatkan EAGERBEE, DLL injektor dirancang untuk meluncurkan modul pintu belakang, yang kemudian digunakan untuk mengumpulkan informasi sistem dan mengekstrak rinciannya ke server jarak jauh yang koneksinya dibuat melalui soket TCP.
Server kemudian merespons dengan Plugin Orchestrator yang, selain melaporkan informasi terkait sistem ke server (misalnya, nama domain NetBIOS; penggunaan memori fisik dan virtual; dan pengaturan lokal sistem dan zona waktu), mengumpulkan rincian tentang proses yang berjalan dan menunggu instruksi lebih lanjut –
- Menerima dan memasukkan plugin ke dalam memori
- Bongkar plugin tertentu dari memori, hapus plugin dari daftar
- Hapus semua plugin dari daftar
- Periksa apakah plugin dimuat atau tidak
“Semua plugin bertanggung jawab untuk menerima dan menjalankan perintah dari orkestrator,” kata para peneliti, seraya menambahkan bahwa plugin melakukan operasi file, mengelola proses, memelihara koneksi jarak jauh, mengelola layanan sistem, dan membuat daftar koneksi jaringan.
Kaspersky mengatakan pihaknya juga mengamati EAGERBEE diterapkan di beberapa organisasi di Asia Timur, dengan dua di antaranya dibobol menggunakan kerentanan ProxyLogon (CVE-2021-26855) untuk menjatuhkan shell web yang kemudian digunakan untuk menjalankan perintah di server, yang pada akhirnya mengarah ke penerapan pintu belakang.
“Diantaranya adalah EAGERBEE, kerangka malware yang dirancang khusus untuk beroperasi di memori,” kata para peneliti. “Arsitektur memory-resident ini meningkatkan kemampuan silumannya, membantunya menghindari deteksi oleh solusi keamanan endpoint tradisional.”
“EAGERBEE juga mengaburkan aktivitas command shell-nya dengan memasukkan kode berbahaya ke dalam proses yang sah. Taktik ini memungkinkan malware berintegrasi secara mulus dengan operasi sistem normal, membuatnya jauh lebih sulit untuk diidentifikasi dan dianalisis.”
