近期,卡巴斯基实验室发布报告称,新型Eagerbee恶意软件框架正在针对中东地区的政府组织和互联网服务提供商(ISP)发起攻击。这一恶意软件此前曾与中国国家支持的黑客组织“Crimson Palace”有关联,而最新研究发现,其可能与另一个名为“CoughingDown”的威胁组织存在潜在联系。
Eagerbee后门与CoughingDown组织的关联
卡巴斯基研究人员指出,Eagerbee后门与CoughingDown核心模块之间存在代码相似性和C2(命令与控制)域名重叠。报告称:“由于通过同一Webshell在同一天创建服务以执行Eagerbee后门和CoughingDown核心模块,并且两者的C2域名重叠,我们以中等置信度评估Eagerbee后门与CoughingDown威胁组织相关。”
攻击手法分析
尽管卡巴斯基未能确定中东攻击的初始入侵途径,但在之前的案例中,攻击者曾利用Microsoft Exchange的ProxyLogon漏洞(CVE-2021-26855)入侵了两家东亚组织。此次攻击中,攻击者将注入器(tsvipsrv.dll)投放到系统的system32目录中,用于加载有效载荷文件(ntusers0.dat)。
当系统启动时,Windows会执行注入器,随后滥用“Themes”服务以及SessionEnv、IKEEXT和MSDTC等服务,通过DLL劫持将后门有效载荷写入内存。后门可以配置为在特定时间执行,但在观察到的攻击中,它被设置为全天候运行。
Eagerbee的功能与插件
Eagerbee在受感染系统中以“dllloader1x64.dll”的形式出现,并立即开始收集操作系统详情和网络地址等基本信息。初始化后,它会与C2服务器建立TCP/SSL通道,接收扩展其功能的插件。
这些插件由插件协调器(ssss.dll)注入内存并管理其执行。卡巴斯基记录了以下五个插件:
-
文件管理器插件:处理文件系统操作,包括列出、重命名、移动、复制和删除文件或目录。它可以调整文件权限、将额外有效载荷注入内存并执行命令行。
-
进程管理器插件:管理系统进程,列出运行中的进程、启动新进程并终止现有进程。它可以在特定用户账户的安全上下文中执行命令行或模块。
-
远程访问管理器插件:通过启用RDP会话、维护并发RDP连接和提供命令 shell 访问来促进远程访问。它还可以从指定URL下载文件并将命令 shell 注入合法进程以实现隐蔽性。
-
服务管理器插件:控制系统服务,创建、启动、停止、删除或枚举服务。它可以管理独立和共享的服务进程,同时收集服务状态详情。
-
网络管理器插件:监控并列出活动网络连接,收集IPv4和IPv6协议的详细信息,如状态、本地/远程地址和端口以及相关进程ID。
全球范围内的威胁
Eagerbee后门不仅在中东地区活跃,还在日本被发现,表明其攻击范围已扩展至全球。这种后门具有高度的隐蔽性和持久性,能够在受感染系统上执行广泛的操作。
防御建议
卡巴斯基建议组织采取以下措施以应对Eagerbee威胁:
-
修补漏洞:确保所有Exchange服务器均已修复ProxyLogon漏洞(CVE-2021-26855)。
-
监控威胁指标:使用卡巴斯基报告中列出的威胁指标(IoC)进行早期检测。
-
加强网络防护:部署入侵检测系统(IDS)和入侵防御系统(IPS),监控异常网络活动。
-
限制权限:严格控制对关键系统的访问权限,减少攻击面。
结语
Eagerbee后门的出现再次提醒我们,高级持续性威胁(APT)正在不断演变,攻击者的目标已从传统企业扩展至政府和关键基础设施。组织需保持高度警惕,及时更新安全措施,以应对日益复杂的网络威胁。
原文始发于微信公众号(技术修道场):Eagerbee后门攻击中东政府与ISP,全球威胁升级!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论