Malware EAGERBEE

Se ha observado una versión recientemente actualizada del marco de malware EAGERBEE que ataca a proveedores de servicios de Internet (ISP) y organizaciones gubernamentales en Medio Oriente.

Esta última versión, también conocida como Thumtais, incluye una serie de componentes que le permiten implementar cargas útiles adicionales, explorar sistemas de archivos y ejecutar shells de comandos. Estas mejoras marcan un avance significativo en sus capacidades.

Diseño modular y categorías funcionales

La puerta trasera se basa en complementos clave, que se pueden agrupar en función de sus funciones: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing y Service Management. Los investigadores de ciberseguridad han vinculado a EAGERBEE con un nivel de confianza medio a un grupo de amenazas conocido como CoughingDown.

Inicialmente, EAGERBEE estaba asociado con un grupo de ciberespionaje patrocinado por el estado, denominado REF5961. Esta puerta trasera, aunque técnicamente sencilla, admite canales de comando y control tanto directos como inversos con cifrado SSL. Está diseñada principalmente para el reconocimiento del sistema y para facilitar la entrega de ejecutables adicionales para actividades posteriores a la explotación.

Operaciones de espionaje y conexiones con el grupo Alfa

Investigaciones posteriores revelaron que se había utilizado una versión modificada de EAGERBEE en campañas de ciberespionaje atribuidas a un agente de amenazas afiliado al estado chino conocido como Cluster Alpha. Esta operación, cuyo nombre en código era Crimson Palace, tenía como objetivo extraer información política y militar confidencial de una agencia gubernamental de alto perfil en el sudeste asiático.

El grupo Alpha muestra superposiciones con otros grupos de ciberespionaje, entre ellos BackdoorDiplomacy , REF5961, Worok y TA428. Cabe destacar que BackdoorDiplomacy comparte características tácticas con CloudComputating (también llamado Faking Dragon), una entidad de habla china vinculada a un marco de malware modular conocido como QSC. Este marco se ha observado en ciberataques contra el sector de las telecomunicaciones en el sur de Asia.

Ejecución en memoria y capacidades ocultas

QSC sigue una arquitectura modular en la que solo el cargador inicial se almacena en el disco, mientras que los componentes principales y de red permanecen en la memoria. Este enfoque permite a los atacantes cargar complementos en función de sus objetivos de forma dinámica.

En las intrusiones más recientes de EAGERBEE, una DLL de inyección ejecuta el módulo de puerta trasera. Una vez activado, la puerta trasera recopila detalles del sistema y los transmite a un servidor remoto a través de un socket TCP. El método específico utilizado para obtener acceso inicial en estos incidentes sigue sin estar claro.

El servidor remoto responde implementando Plugin Orchestrator, que recupera y genera informes sobre detalles del sistema, como nombres NetBIOS de dominio, estadísticas de uso de memoria y configuraciones regionales del sistema. También recopila datos sobre procesos en ejecución mientras espera más instrucciones, incluidos:

  • Inyección de complementos en la memoria
  • Descargar complementos específicos o borrar todos de la lista
  • Cómo verificar si un complemento está activo

Cada complemento ejecuta comandos del orquestador, manejando la gestión de archivos, el control de procesos, la conectividad remota, la supervisión del servicio del sistema y el monitoreo de la conexión de red.

Explotación de vulnerabilidades y amenazas persistentes

Los investigadores han identificado infecciones de EAGERBEE en varias organizaciones del este de Asia, con al menos dos infracciones vinculadas a la vulnerabilidad ProxyLogon (CVE-2021-26855). En estos casos, los atacantes implementaron shells web para ejecutar comandos en servidores comprometidos, lo que finalmente condujo a la instalación de la puerta trasera.

EAGERBEE funciona principalmente como un marco residente en la memoria, un diseño que mejora significativamente su capacidad para evadir la detección por parte de las herramientas de seguridad convencionales. Al inyectar código inseguro en procesos legítimos, oculta sus actividades de shell de comandos, integrándose perfectamente con las funciones normales del sistema y complicando los esfuerzos para detectar y analizar su comportamiento.

Tendencias

Mas Visto

Cargando...