СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#ИБ#Инфра

Бэкдор EAGERBEE: угроза от интернет-провайдеров до правительств

Бэкдор EAGERBEE: угроза от интернет-провайдеров до правительств

Изображение: securelist.com

Недавнее расследование бэкдора EAGERBEE выявило его активное использование интернет-провайдерами и правительственными организациями на Ближнем Востоке. Это открытие приводит к появлению новых компонентов, используемых для вредоносной деятельности и подчеркивает серьезные риски в области кибербезопасности.

Что такое EAGERBEE?

Бэкдор EAGERBEE представляет собой вредоносное ПО, которое внедряется в законные процессы, тем самым нарушая безопасность и конфиденциальность данных. Он имеет несколько дополнительных компонентов:

  • Сервисный инжектор: название tsvipsrv.dll, нацеливается на процесс обслуживания, записывая байты бэкдора вместе с кодом-заглушкой.
  • Плагины: позволяют выполнять различные операции, такие как:
    • Выполнение команд
    • Изучение файловых систем
    • Управление сетевыми подключениями

Восточная Азия: Использование уязвимости ProxyLogon

В Восточной Азии бэкдор EAGERBEE был обнаружен в организациях, взломанных с помощью уязвимости ProxyLogon на серверах Exchange. Это привело к:

  • Развертыванию вредоносных веб-оболочек
  • Злоупотреблению законными службами Windows, такими как MSDTC, IKEEXT и SessionEnv.

Загрузчик библиотек DLL, выполняемых этими службами, облегчил загрузку бэкдора EAGERBEE в память.

Связь с группой CoughingDown

Были выявлены связи между EAGERBEE и хакерской группой CoughingDown. Веские доказательства включают:

  • Совпадение кода
  • Использование IP-адресов C2, совместно с образцами CoughingDown.

Эти факты указывают на возможную связь между двумя угрозами, хотя первоначальный источник заражения остается неопределенным.

Скрытность и проблемы обнаружения

Резидентная память EAGERBEE повышает его скрытность, что помогает обходить традиционные решения безопасности:

  • Внедрение вредоносного кода в законные процессы
  • Выполнение его во время сеансов пользователя

Сложность интеграции вредоносного ПО в стандартные системные операции создает дополнительные проблемы для аналитиков по кибербезопасности.

Заключение

Использование уязвимости ProxyLogon в качестве первоначального вектора доступа подчеркивает насущную необходимость в своевременном исправлении уязвимостей для защиты сетей от несанкционированного доступа. Несмотря на связь EAGERBEE с CoughingDown, остается неопределенность касательно конкретной группы, ответственной за внедрение бэкдора на Ближнем Востоке.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: