Novas variantes do framework de malware Eagerbee estão sendo implantadas contra organizações governamentais e provedores de serviços de internet (ISPs) no Oriente Médio.
Anteriormente, o malware foi observado em ataques realizados por atores de ameaças apoiados pelo estado chinês, que a Sophos rastreou como 'Crimson Palace.'
De acordo com um novo relatório dos pesquisadores da Kaspersky, há uma conexão potencial com um grupo de ameaças que eles chamam de 'CoughingDown', com base em similaridades de código e sobreposições de endereço IP.
"Devido à criação consistente de serviços no mesmo dia, via o mesmo webshell, para executar o backdoor EAGERBEE e o Módulo Principal CoughingDown, e a sobreposição do domínio C2 entre o backdoor EAGERBEE e o Módulo Principal CoughingDown, avaliamos com média confiança que o backdoor EAGERBEE está relacionado ao grupo de ameaças CoughingDown", explica a Kaspersky
A Kaspersky não conseguiu determinar o vetor de acesso inicial nos ataques no Oriente Médio, mas relata que, em casos anteriores, duas organizações do Leste Asiático foram violadas por meio da exploração da falha Microsoft Exchange ProxyLogon (
CVE-2021-26855
).
O ataque envolve a implantação de um injetor (tsvipsrv.dll) despejado no diretório system32 para carregar o arquivo de payload (ntusers0.dat).
Ao iniciar o sistema, o Windows executa o injetor, que então abusa do serviço 'Themes', além de SessionEnv, IKEEXT e MSDTC, para escrever o payload do backdoor na memória usando DLL hijacking.
O backdoor pode ser configurado para executar em horários específicos, mas a Kaspersky diz que foi configurado para rodar 24/7 nos ataques observados.
O Eagerbee aparece no sistema infectado como 'dllloader1x64.dll' e começa imediatamente a coletar informações básicas como detalhes do sistema operacional e endereços de rede.
Após a inicialização, ele estabelece um canal TCP/SSL com o servidor de comando e controle (C2) de onde pode receber plugins adicionais que estendem sua funcionalidade.
Os plugins são injetados na memória por um orquestrador de plugins (ssss.dll), que gerencia sua execução.
Os cinco plugins documentados pela Kaspersky são os seguintes:
- Plugin de Gerenciamento de Arquivos: Gerencia operações do sistema de arquivos, incluindo listagem, renomeação, movimentação, cópia e exclusão de arquivos ou diretórios.
Pode ajustar permissões de arquivos, injetar payloads adicionais na memória e executar linhas de comando.
Também recupera estruturas detalhadas de arquivos e pastas e gerencia rótulos de volume e timestamps.
- Plugin de Gerenciamento de Processos: Gerencia processos do sistema listando processos em execução, lançando novos e terminando os existentes.
Pode executar linhas de comando ou módulos no contexto de segurança de contas de usuário específicas.
- Plugin de Gerenciamento de Acesso Remoto: Facilita o acesso remoto, habilitando sessões RDP, mantendo conexões RDP simultâneas e fornecendo acesso ao shell de comandos.
Também baixa arquivos de URLs especificadas e injeta shells de comando em processos legítimos para stealth.
- Plugin de Gerenciamento de Serviços: Controla serviços do sistema criando, iniciando, parando, excluindo ou enumerando-os.
Pode gerenciar tanto processos de serviços individuais quanto compartilhados enquanto coleta detalhes de status do serviço.
- Plugin de Gerenciamento de Rede: Monitora e lista conexões de rede ativas, coletando detalhes como estado, endereços locais/remotos e portas, e IDs de processo associados para ambos os protocolos IPv4 e IPv6.
No geral, o Eagerbee é uma ameaça furtiva e persistente que possui capacidades extensas em sistemas comprometidos.
A mesma cadeia de carregamento de backdoor também foi descoberta no Japão, então os ataques são globais.
As organizações devem aplicar patches no ProxyLogon em todos os servidores Exchange e usar os indicadores de comprometimento listados no relatório da Kaspersky para capturar a ameaça precocemente.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...