Nieuwe EAGERBEE-variant richt zich op ISP’s en overheden met geavanceerde achterdeurmogelijkheden

Internetproviders (ISP’s) en overheidsinstanties in het Midden-Oosten zijn het doelwit geworden met behulp van een bijgewerkte variant van het EAGERBEE-malwareframework.

De nieuwe variant van EAGERBEE (ook bekend als Thumtais) wordt geleverd met verschillende componenten waarmee de achterdeur extra payloads kan inzetten, bestandssystemen kan opsommen en opdrachtshells kan uitvoeren, wat een aanzienlijke evolutie aantoont.

“De belangrijkste plug-ins kunnen qua functionaliteit worden onderverdeeld in de volgende groepen: Plugin Orchestrator, File System Manipulation, Remote Access Manager, Process Exploration, Network Connection Listing en Service Management”, aldus Kaspersky-onderzoekers Saurabh Sharma en Vasily Berdnikov in een analyse.

De achterdeur is door het Russische cyberbeveiligingsbedrijf met gemiddeld vertrouwen beoordeeld op een dreigingsgroep genaamd CoughingDown.

EAGERBEE werd voor het eerst gedocumenteerd door de Elastic Security Labs en schreef het toe aan een door de staat gesponsorde en op spionage gerichte inbraakset genaamd REF5961. Het is een “technisch eenvoudige achterdeur” met voorwaartse en achterwaartse C2- en SSL-coderingsmogelijkheden, ontworpen om basissysteemopsommingen uit te voeren en daaropvolgende uitvoerbare bestanden te leveren voor post-exploitatie.

Vervolgens werd een variant van de malware waargenomen bij aanvallen door een aan de Chinese staat verbonden dreigingscluster, gevolgd als Cluster Alpha, als onderdeel van een bredere cyberspionageoperatie met de codenaam Crimson Palace met als doel gevoelige militaire en politieke geheimen te stelen van een spraakmakende regering. organisatie in Zuidoost-Azië.

Cluster Alpha overlapt volgens Sophos met bedreigingsclusters die worden bijgehouden als BackdoorDiplomacy, REF5961, Worok en TA428. Van BackdoorDiplomacy is bekend dat het tactische overeenkomsten vertoont met een andere Chineessprekende groep met de codenaam CloudComputating (ook bekend als Faking Dragon), die heeft toegeschreven aan een malwareframework met meerdere plug-ins, ook wel QSC genoemd, bij aanvallen gericht op de telecomindustrie in Zuid-Azië.

“QSC is een modulair raamwerk, waarvan alleen de initiële lader op schijf blijft staan, terwijl de kern- en netwerkmodules altijd in het geheugen staan”, merkte Kaspersky in november 2024 op. “Het gebruik van een op plug-ins gebaseerde architectuur geeft aanvallers de mogelijkheid om te bepalen welke plug-in (module) om op verzoek in het geheugen te laden, afhankelijk van het beoogde doel.”

Bij de nieuwste reeks aanvallen waarbij EAGERBEE betrokken is, is een injector-DLL ontworpen om de achterdeurmodule te starten, die vervolgens wordt gebruikt om systeeminformatie te verzamelen en de details naar een externe server te exfiltreren waarmee een verbinding tot stand is gebracht via een TCP-socket.

De server reageert vervolgens met een Plugin Orchestrator die, naast het rapporteren van systeemgerelateerde informatie aan de server (bijvoorbeeld de NetBIOS-naam van het domein, fysiek en virtueel geheugengebruik, en landinstellingen van het systeem en tijdzone-instellingen), details verzamelt over lopende processen en wacht op verdere instructies –

  • Ontvang en injecteer plug-ins in het geheugen
  • Haal een specifieke plug-in uit het geheugen en verwijder de plug-in uit de lijst
  • Verwijder alle plug-ins uit de lijst
  • Controleer of de plug-in is geladen of niet

“Alle plug-ins zijn verantwoordelijk voor het ontvangen en uitvoeren van opdrachten van de orkestrator”, aldus de onderzoekers, eraan toevoegend dat ze bestandsbewerkingen uitvoeren, processen beheren, externe verbindingen onderhouden, systeemservices beheren en netwerkverbindingen weergeven.

Kaspersky zei ook te hebben waargenomen dat EAGERBEE werd ingezet in verschillende organisaties in Oost-Azië, waarbij twee van hen werden gehackt met behulp van de ProxyLogon-kwetsbaarheid (CVE-2021-26855) om webshells te laten vallen die vervolgens werden gebruikt om opdrachten op de servers uit te voeren, wat uiteindelijk leidde tot de achterdeur inzet.

“Hieronder bevindt zich EAGERBEE, een malwareframework dat primair is ontworpen om in het geheugen te werken”, aldus de onderzoekers. “Deze geheugenresidente architectuur verbetert de stealth-mogelijkheden en helpt detectie door traditionele eindpuntbeveiligingsoplossingen te omzeilen.”

“EAGERBEE verdoezelt ook zijn commandoshell-activiteiten door kwaadaardige code in legitieme processen te injecteren. Deze tactieken zorgen ervoor dat de malware naadloos kan worden geïntegreerd met normale systeembewerkingen, waardoor het aanzienlijk moeilijker wordt om te identificeren en te analyseren.”

Thijs Van der Does