警惕!Eagerbee后门攻击席卷中东,政府机构和互联网服务提供商成目标

admin 2025年1月9日09:11:08评论5 views字数 1137阅读3分47秒阅读模式
警惕!Eagerbee后门攻击席卷中东,政府机构和互联网服务提供商成目标

卡巴斯基研究人员近期发现,新型“Eagerbee”恶意软件框架变种正被用于攻击中东地区的政府机构和互联网服务提供商(ISP)。

此前,该恶意软件曾被中国国家支持的黑客组织“Crimson Palace”(深红宫殿)使用。卡巴斯基的研究表明,此次攻击可能与名为“CoughingDown”的威胁组织有关,两者之间存在代码相似性和IP地址重叠。

“Eagerbee”攻击链:

虽然卡巴斯基尚未确定此次攻击的初始入侵途径,但此前的案例表明,攻击者曾利用微软Exchange ProxyLogon漏洞(CVE-2021-26855)入侵两家东亚组织。

攻击者首先将注入器(tsvipsrv.dll)释放到system32目录,用于加载恶意负载文件(ntusers0.dat)。系统启动时,Windows会执行该注入器,后者利用“Themes”服务以及SessionEnv、IKEEXT和MSDTC等组件,通过DLL劫持技术将后门负载写入内存。

“Eagerbee”功能模块:

“Eagerbee”后门伪装成“dllloader1x64.dll”文件,并在系统启动后立即收集操作系统和网络地址等基本信息。随后,它会与命令控制服务器(C2)建立TCP/SSL通道,接收并加载扩展其功能的插件。

卡巴斯基共记录了五个插件:

  • 文件管理器插件:
     执行文件操作,包括列出、重命名、移动、复制和删除文件或目录;调整文件权限;将其他恶意负载注入内存;执行命令行等。
  • 进程管理器插件:
     管理系统进程,包括列出正在运行的进程、启动新进程和终止现有进程;以特定用户身份执行命令行或模块。
  • 远程访问管理器插件:
     提供远程访问功能,包括启用RDP会话、维护并发RDP连接和提供命令shell访问;从指定URL下载文件;将命令shell注入合法进程以实现隐蔽操作。
  • 服务管理器插件:
     控制系统服务,包括创建、启动、停止、删除或枚举服务;管理独立和共享服务进程;收集服务状态详细信息。
  • 网络管理器插件:
     监控和列出活动网络连接,收集连接状态、本地/远程地址和端口以及关联进程ID等详细信息。

“Eagerbee”是一款具有隐蔽性和持久性的威胁,可在受感染系统上执行广泛的恶意操作。  值得注意的是,同样的后门加载链也出现在日本,表明该攻击已具有全球范围的影响。

安全建议:

  • 及时修补所有Exchange服务器上的ProxyLogon漏洞。
  • 参考卡巴斯基报告中列出的攻击指标,尽早发现并阻止“Eagerbee”攻击。
  • 加强网络安全防护,提高安全意识,警惕任何可疑的活动。

请广大用户提高警惕,加强防范,避免成为“Eagerbee”攻击的受害者!

原文始发于微信公众号(技术修道场):警惕!“Eagerbee”后门攻击席卷中东,政府机构和互联网服务提供商成目标

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月9日09:11:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕!Eagerbee后门攻击席卷中东,政府机构和互联网服务提供商成目标https://cn-sec.com/archives/3608935.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息