Eagerbee后门攻击中东政府与ISP,全球威胁升级!

admin 2025年1月10日19:01:03评论3 views字数 1549阅读5分9秒阅读模式
Eagerbee后门攻击中东政府与ISP,全球威胁升级!

近期,卡巴斯基实验室发布报告称,新型Eagerbee恶意软件框架正在针对中东地区的政府组织和互联网服务提供商(ISP)发起攻击。这一恶意软件此前曾与中国国家支持的黑客组织“Crimson Palace”有关联,而最新研究发现,其可能与另一个名为“CoughingDown”的威胁组织存在潜在联系。

Eagerbee后门与CoughingDown组织的关联

卡巴斯基研究人员指出,Eagerbee后门与CoughingDown核心模块之间存在代码相似性和C2(命令与控制)域名重叠。报告称:“由于通过同一Webshell在同一天创建服务以执行Eagerbee后门和CoughingDown核心模块,并且两者的C2域名重叠,我们以中等置信度评估Eagerbee后门与CoughingDown威胁组织相关。”

攻击手法分析

尽管卡巴斯基未能确定中东攻击的初始入侵途径,但在之前的案例中,攻击者曾利用Microsoft Exchange的ProxyLogon漏洞(CVE-2021-26855)入侵了两家东亚组织。此次攻击中,攻击者将注入器(tsvipsrv.dll)投放到系统的system32目录中,用于加载有效载荷文件(ntusers0.dat)。

当系统启动时,Windows会执行注入器,随后滥用“Themes”服务以及SessionEnv、IKEEXT和MSDTC等服务,通过DLL劫持将后门有效载荷写入内存。后门可以配置为在特定时间执行,但在观察到的攻击中,它被设置为全天候运行。

Eagerbee的功能与插件

Eagerbee在受感染系统中以“dllloader1x64.dll”的形式出现,并立即开始收集操作系统详情和网络地址等基本信息。初始化后,它会与C2服务器建立TCP/SSL通道,接收扩展其功能的插件。

这些插件由插件协调器(ssss.dll)注入内存并管理其执行。卡巴斯基记录了以下五个插件:

  1. 文件管理器插件:处理文件系统操作,包括列出、重命名、移动、复制和删除文件或目录。它可以调整文件权限、将额外有效载荷注入内存并执行命令行。

  2. 进程管理器插件:管理系统进程,列出运行中的进程、启动新进程并终止现有进程。它可以在特定用户账户的安全上下文中执行命令行或模块。

  3. 远程访问管理器插件:通过启用RDP会话、维护并发RDP连接和提供命令 shell 访问来促进远程访问。它还可以从指定URL下载文件并将命令 shell 注入合法进程以实现隐蔽性。

  4. 服务管理器插件:控制系统服务,创建、启动、停止、删除或枚举服务。它可以管理独立和共享的服务进程,同时收集服务状态详情。

  5. 网络管理器插件:监控并列出活动网络连接,收集IPv4和IPv6协议的详细信息,如状态、本地/远程地址和端口以及相关进程ID。

全球范围内的威胁

Eagerbee后门不仅在中东地区活跃,还在日本被发现,表明其攻击范围已扩展至全球。这种后门具有高度的隐蔽性和持久性,能够在受感染系统上执行广泛的操作。

防御建议

卡巴斯基建议组织采取以下措施以应对Eagerbee威胁:

  1. 修补漏洞:确保所有Exchange服务器均已修复ProxyLogon漏洞(CVE-2021-26855)。

  2. 监控威胁指标:使用卡巴斯基报告中列出的威胁指标(IoC)进行早期检测。

  3. 加强网络防护:部署入侵检测系统(IDS)和入侵防御系统(IPS),监控异常网络活动。

  4. 限制权限:严格控制对关键系统的访问权限,减少攻击面。

结语

Eagerbee后门的出现再次提醒我们,高级持续性威胁(APT)正在不断演变,攻击者的目标已从传统企业扩展至政府和关键基础设施。组织需保持高度警惕,及时更新安全措施,以应对日益复杂的网络威胁。

原文始发于微信公众号(技术修道场):Eagerbee后门攻击中东政府与ISP,全球威胁升级!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月10日19:01:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Eagerbee后门攻击中东政府与ISP,全球威胁升级!http://cn-sec.com/archives/3616847.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息