Un atacante desconocido utiliza una versión actualizada de un puerta trasera El malware se implementó anteriormente contra organizaciones de alto perfil en el sudeste asiático en ataques dirigidos, esta vez contra ISP y entidades gubernamentales en el Medio Oriente.
Los investigadores de Kaspersky han detectado una nueva variante del backdoor EagerBee equipada con varios componentes nuevos en ataques que demuestran una evolución significativa de la estructura del malware. ellos revelaron en una publicación de blog publicada hoy.
EagerBee está diseñado principalmente para ejecutarse en la memoria para mejorar sus capacidades sigilosas y ayudarlo a evadir la detección de las soluciones tradicionales de seguridad de terminales, según Kaspersky. También es único porque oculta sus actividades del shell de comandos al inyectar código malicioso en procesos legítimos que se ejecutan en el contexto de explorer.exe o la sesión del usuario objetivo.
“Estas tácticas permiten que el malware se integre perfectamente en las operaciones normales del sistema, lo que hace que sea mucho más difícil de identificar y analizar”, escribió en la publicación Saurabh Sharma, investigador senior de seguridad de Kaspersky.
Una variante anterior del malware se observó en ataques de un trío de grupos de amenazas alineados con el estado chino, que habían colaborado anteriormente para Operación Palacio Púrpura para robar secretos militares y políticos sensibles de una organización gubernamental de alto nivel en el sudeste asiático.
La última versión de EagerBee que se utilizó en los ataques de Medio Oriente presenta varias características avanzadas nuevas, incluido un nuevo inyector de servicios diseñado para inyectar la puerta trasera en un servicio en ejecución y una serie de complementos no documentados anteriormente que se pueden implementar después de activar el. Puerta trasera. instalación.
“Estos permitieron una variedad de actividades maliciosas, como implementar cargas útiles adicionales, extraer sistemas de archivos, ejecutar shells y mucho más”, escribió Sharma.
¿Quiénes son los ciberatacantes detrás de EagerBee?
Investigadores anteriores habían atribuido a EagerBee a un grupo de amenazas chino tigre de hierro (también conocido como Emissary Panda o APT27), uno de varios grupos que a menudo colaboran con otros actores respaldados por el Estado y por China; esto tiende a hacer que la atribución específica de ataques y malware no quede clara.
Un ejemplo: el último análisis de Kaspersky sobre la puerta trasera desplegada en Medio Oriente atribuye a EagerBee a otro jugador chino, CoughingDown. De hecho, según Sharma, los servicios se crearon el mismo día a través del mismo shell web para ejecutar EagerBee y el módulo central CoughingDown en uno de los ataques analizados por los investigadores. Además, los investigadores observaron una superposición en el dominio de comando y control (C2) utilizado tanto por EagerBee como por el módulo central CoughingDown durante el ataque.
Otra evidencia descubierta en los ataques de Medio Oriente que vinculan a EagerBee con CoughingDown incluye la superposición de código en un archivo DLL malicioso utilizado en el ataque con malware de múltiples complementos desarrollado por CoughingDown a fines de septiembre de 2020, según Sharma. “Evaluamos con confianza media que la puerta trasera de EagerBee está vinculada al grupo de amenazas CoughingDown”, escribió.
Funciones avanzadas del malware de puerta trasera EagerBee
El equipo de Kaspersky ha identificado nuevas características clave del complemento EagerBee, todas las cuales son ejecutadas por un módulo orquestador de complementos para ejecutar comandos para realizar diversas actividades maliciosas.
El orquestador exporta un método único responsable de inyectar el módulo en la memoria y luego llamar a su punto de entrada. Además de los datos específicos de la víctima recopilados por el malware, este complemento recopila e informa otra información, como el uso actual de la memoria física y virtual, la configuración local y horaria del sistema y la codificación de caracteres de Windows, en el sistema infectado. al servidor C2.
Después de pasar esta información, el orquestador del complemento también informa si el proceso actual tiene privilegios elevados y luego recopila detalles sobre todos los procesos que se ejecutan en el sistema. Una vez enviada la información, el orquestador de complementos espera a que se ejecuten los comandos, los cuales son ejecutados por los diferentes complementos de puerta trasera.
Estos incluyen un complemento de administrador de archivos responsable, entre otras cosas, de cambiar el nombre, mover, copiar y eliminar archivos; leer y escribir archivos hacia y desde el sistema; e inyectar cargas útiles adicionales en la memoria. Otro complemento del administrador de procesos enumera los procesos que se ejecutan en el sistema; lanza nuevos módulos y ejecuta líneas de comando; y finaliza los procesos existentes.
Otros dos complementos que se encuentran en la nueva variante incluyen un Administrador de acceso remoto que facilita y mantiene inicios de sesión remotos al mismo tiempo que proporciona acceso al shell de comandos, y un Administrador de servicios que administra los servicios del sistema, incluida su instalación, inicio, parada, eliminación y lista.
La sofisticación del malware exige vigilancia por parte de los ciberdefensores
A pesar de los vínculos con CoughingDown, los investigadores de Kaspersky no pudieron determinar el vector de infección inicial para la implementación de EagerBee.
En ataques anteriores que utilizaron la puerta trasera en Asia, los atacantes explotaron el ahora infame Vulnerabilidad de Exchange ProxyLogon como punto de entrada inicial; Sin embargo, según Kaspersky, no hay evidencia de esto en los ataques aquí. Sin embargo, los investigadores todavía recomiendan a los defensores parchear rápidamente ProxyLogon para proteger su perímetro de red, ya que “sigue siendo un método de explotación popular entre los atacantes para obtener acceso no autorizado a los servidores Exchange”, señaló Sharma.
En general, la aparición de una variante reforzada de EagerBee en los ataques de Medio Oriente demuestra cómo los atacantes continúan avanzando en los marcos de malware en términos tanto de su capacidad para evadir la detección como de la amplitud de capacidades maliciosas que pueden lograr, lo que requiere que las organizaciones también fortalezcan su seguridad. juego, dijo.