Siber Muhbir

EAGERBEE'nin (diğer adıyla Thumtais) yeni varyantı, arka kapının ek yükler dağıtmasına, dosya sistemlerini numaralandırmasına ve komut kabuklarını yürütmesine olanak tanıyan çeşitli bileşenlerle donatılmış olarak gelir ve bu da önemli bir evrim gösterir.

Kaspersky araştırmacıları Saurabh Sharma ve Vasily Berdnikov bir analizde, "Anahtar eklentiler, işlevsellikleri açısından aşağıdaki gruplara ayrılabilir: Eklenti Düzenleyicisi, Dosya Sistemi Manipülasyonu, Uzaktan Erişim Yöneticisi, Süreç Keşfi, Ağ Bağlantısı Listesi ve Hizmet Yönetimi" dedi.

Arka kapı, Rus siber güvenlik şirketi tarafından CoughingDown adlı bir tehdit grubuna orta düzeyde güvenle değerlendirildi.

EAGERBEE ilk olarak Elastic Security Labs tarafından belgelendi ve REF5961 olarak adlandırılan devlet destekli ve casusluk odaklı bir saldırı setine atfedildi. İleri ve geri komut ve kontrol ve SSL şifreleme özelliklerine sahip "teknik olarak basit bir arka kapı" olan bu kapı, temel sistem numaralandırmasını yürütmek ve istismar sonrası için sonraki yürütülebilir dosyaları sunmak üzere tasarlanmıştır.

Daha sonra, kötü amaçlı yazılımın bir çeşidi, Güneydoğu Asya'daki yüksek profilli bir hükümet kuruluşundan hassas askeri ve siyasi sırları çalmak amacıyla Crimson Palace kod adlı daha geniş bir siber casusluk operasyonunun parçası olarak Cluster Alpha olarak izlenen Çin devletine bağlı bir tehdit kümesinin saldırılarında gözlemlendi.

Sophos'a göre Cluster Alpha, BackdoorDiplomacy, REF5961, Worok ve TA428 olarak izlenen tehdit gruplarıyla örtüşüyor. BackdoorDiplomacy'nin, Güney Asya'daki telekom endüstrisini hedef alan saldırılarda QSC olarak adlandırılan çok eklentili bir kötü amaçlı yazılım çerçevesine atfedilen CloudComputating (diğer adıyla Faking Dragon) kod adlı başka bir Çince konuşan grupla taktiksel benzerlikler sergilediği biliniyor.

Kaspersky, Kasım 2024'te "QSC, çekirdek ve ağ modülleri her zaman bellekte kalırken yalnızca ilk yükleyicisi diskte kalan modüler bir çerçevedir" dedi. "Eklenti tabanlı bir mimari kullanmak, saldırganlara, ilgilenilen hedefe bağlı olarak isteğe bağlı olarak belleğe hangi eklentinin (modülün) yükleneceğini kontrol etme yeteneği verir."

EAGERBEE'yi içeren en son saldırı setinde, bir enjektör DLL'si arka kapı modülünü başlatmak için tasarlanmıştır ve daha sonra sistem bilgilerini toplamak ve ayrıntıları bir TCP soketi aracılığıyla bağlantının kurulduğu uzak bir sunucuya sızdırmak için kullanılır. Bununla birlikte, bu izinsiz girişlerde kullanılan kesin ilk giriş noktası bu aşamada bilinmemektedir.

Sunucu daha sonra, sistemle ilgili bilgileri sunucuya bildirmenin yanı sıra (örneğin, etki alanının NetBIOS adı; fiziksel ve sanal bellek kullanımı ve sistem yerel ayarı ve saat dilimi ayarları), çalışan işlemlerle ilgili ayrıntıları toplayan ve daha fazla talimat bekleyen bir Eklenti Düzenleyicisi ile yanıt verir.

• Eklentileri alın ve belleğe enjekte edin
• Belirli bir eklentiyi bellekten kaldırın, eklentiyi listeden kaldırın
• Listeden tüm eklentileri kaldırın
• Eklentinin yüklenip yüklenmediğini kontrol edin

Araştırmacılar, "Tüm eklentiler, düzenleyiciden komut almaktan ve yürütmekten sorumludur" dedi ve dosya işlemlerini gerçekleştirdiklerini, süreçleri yönettiklerini ve uzak bağlantıları sürdürdüklerini, sistem hizmetlerini yönettiklerini ve ağ bağlantılarını listelediklerini de sözlerine ekledi.

Kaspersky, EAGERBEE'nin Doğu Asya'daki çeşitli kuruluşlarda konuşlandırıldığını ve bunlardan ikisinin ProxyLogon güvenlik açığı (CVE-2021-26855) kullanılarak daha sonra sunucularda komutları yürütmek için kullanılan web kabuklarını bırakmak için ihlal edildiğini ve sonuçta arka kapı dağıtımına yol açtığını söyledi.

Araştırmacılar, EAGERBEE'nin "öncelikle bellekte çalışmak üzere tasarlanmış bir kötü amaçlı yazılım çerçevesi" olduğunu belirtti. "Bu bellekte yerleşik mimari, geleneksel uç nokta güvenlik çözümleri tarafından tespit edilmekten kaçınmasına yardımcı olarak gizlilik yeteneklerini geliştiriyor."

"EAGERBEE ayrıca meşru süreçlere kötü amaçlı kod enjekte ederek komut kabuğu faaliyetlerini de gizliyor. Bu taktikler, kötü amaçlı yazılımın normal sistem işlemleriyle sorunsuz bir şekilde entegre olmasını sağlayarak tanımlamayı ve analiz etmeyi önemli ölçüde daha zor hale getiriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.