卡巴斯基研究人员报告称,Eagerbee 后门的新变种正被用于攻击中东地区的互联网服务提供商 (ISP) 和政府机构。卡巴斯基的分析揭示了新的攻击组件,包括用于后门部署的服务注入器以及用于有效负载交付、文件/系统访问和远程控制的插件。初始访问方法仍然未知,但威胁参与者通过 SessionEnv 服务部署了后门注入器 tsvipsrv.dll 和有效负载 ntusers0.dat。
Eagerbee 后门服务注入器以主题服务为目标,将其与用于解压缩恶意软件的存根代码一起注入到其内存中。它通过存根解压缩并执行后门,然后通过恢复原始处理程序进行清理。名为 dllloader1x64.dll 的后门会收集系统信息,包括 NetBIOS 名称、操作系统详细信息、处理器架构和 IP 地址。它使用互斥体 (mstoolFtip32W) 来确保单实例,并包含时间检查以规划在指定的每周时间表内执行。但是,在观察到的情况下,它配置为 24/7 运行,每 15 秒检查一次是否在允许的执行窗口之外。
恶意软件的配置存储在文件中或硬编码在后门二进制文件中,它包括使用 XOR 解码的 C2 服务器详细信息。恶意代码从注册表中检索代理设置,通过代理或直接连接到 C2 服务器,并在配置的情况下支持 SSL/TLS。建立 TCP 连接后,它会将系统数据发送到 C2,C2 会以插件协调器进行响应。后门会验证响应并在不将其映射到内存的情况下执行有效负载。协调器会自行注入,收集其他数据(域名、内存使用情况、区域设置、时区、进程详细信息和插件 ID),并向 C2 服务器报告。它还会检查提升的权限并收集有关所有正在运行的进程的详细信息,包括进程 ID、线程数、父进程和可执行文件路径。后门使用 DLL 文件形式的插件,并使用序数导出三种方法。插件协调器首先通过调用序数为 3 的插件的导出方法来启动。该方法将插件 DLL 注入内存,通过 DllMain 方法(序数 1)对其进行初始化,然后使用序数为 2 的方法执行其功能。
协调器可以发送命令以执行插件,研究人员分析了后门使用的五个插件:文件管理器插件:处理文件系统操作,可以修改文件权限,将其他有效负载注入内存以及执行命令行。进程管理器插件:管理系统进程,可以在特定用户帐户的安全上下文中执行命令行或模块。远程访问管理器插件:通过启用 RDP 会话来促进远程访问,它还可以将命令 shell 注入合法进程以实现隐身。
服务管理器插件:控制系统服务。网络管理器插件:监控和列出活动网络连接。
报告总结道:Eagerbee 部署在东亚的多个组织中。其中两个组织是通过 Exchange 服务器中臭名昭著的 ProxyLogon 漏洞 (CVE-2021-26855) 被入侵的,之后上传了恶意 webshell 并用于在被入侵的服务器上执行命令。由于通过相同的 webshell 在同一天持续创建服务以执行 Eagerbee 后门和 CoughingDown 核心模块,以及 Eagerbee 后门和 CoughingDown 核心模块之间的 C2 域重叠,我们中等程度地认为 Eagerbee 后门与 CoughingDown 威胁组织有关。
原文始发于微信公众号(黑猫安全):Eagerbee 后门攻击针对中东地区的政府机构和互联网服务提供商
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3604158.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论