卡巴斯基研究人员近期发现,新型“Eagerbee”恶意软件框架变种正被用于攻击中东地区的政府机构和互联网服务提供商(ISP)。
此前,该恶意软件曾被中国国家支持的黑客组织“Crimson Palace”(深红宫殿)使用。卡巴斯基的研究表明,此次攻击可能与名为“CoughingDown”的威胁组织有关,两者之间存在代码相似性和IP地址重叠。
“Eagerbee”攻击链:
虽然卡巴斯基尚未确定此次攻击的初始入侵途径,但此前的案例表明,攻击者曾利用微软Exchange ProxyLogon漏洞(CVE-2021-26855)入侵两家东亚组织。
攻击者首先将注入器(tsvipsrv.dll)释放到system32目录,用于加载恶意负载文件(ntusers0.dat)。系统启动时,Windows会执行该注入器,后者利用“Themes”服务以及SessionEnv、IKEEXT和MSDTC等组件,通过DLL劫持技术将后门负载写入内存。
“Eagerbee”功能模块:
“Eagerbee”后门伪装成“dllloader1x64.dll”文件,并在系统启动后立即收集操作系统和网络地址等基本信息。随后,它会与命令控制服务器(C2)建立TCP/SSL通道,接收并加载扩展其功能的插件。
卡巴斯基共记录了五个插件:
- 文件管理器插件:
执行文件操作,包括列出、重命名、移动、复制和删除文件或目录;调整文件权限;将其他恶意负载注入内存;执行命令行等。 - 进程管理器插件:
管理系统进程,包括列出正在运行的进程、启动新进程和终止现有进程;以特定用户身份执行命令行或模块。 - 远程访问管理器插件:
提供远程访问功能,包括启用RDP会话、维护并发RDP连接和提供命令shell访问;从指定URL下载文件;将命令shell注入合法进程以实现隐蔽操作。 - 服务管理器插件:
控制系统服务,包括创建、启动、停止、删除或枚举服务;管理独立和共享服务进程;收集服务状态详细信息。 - 网络管理器插件:
监控和列出活动网络连接,收集连接状态、本地/远程地址和端口以及关联进程ID等详细信息。
“Eagerbee”是一款具有隐蔽性和持久性的威胁,可在受感染系统上执行广泛的恶意操作。 值得注意的是,同样的后门加载链也出现在日本,表明该攻击已具有全球范围的影响。
安全建议:
- 及时修补所有Exchange服务器上的ProxyLogon漏洞。
- 参考卡巴斯基报告中列出的攻击指标,尽早发现并阻止“Eagerbee”攻击。
- 加强网络安全防护,提高安全意识,警惕任何可疑的活动。
请广大用户提高警惕,加强防范,避免成为“Eagerbee”攻击的受害者!
原文始发于微信公众号(技术修道场):警惕!“Eagerbee”后门攻击席卷中东,政府机构和互联网服务提供商成目标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论