Jan 07, 2025Ravie LakshmananCyber Attack/Hacking watoa huduma za Intaneti (ISPs) na huluki za serikali katika Mashariki ya Kati zimelengwa kwa kutumia kibadala kilichosasishwa cha mfumo wa programu hasidi wa EAGERBEE. Lahaja mpya ya EAGERBEE (aka Thumtais) huja ikiwa na vipengele mbalimbali vinavyoruhusu mlango wa nyuma kupeleka mizigo ya ziada, kuhesabu mifumo ya faili, na kutekeleza makombora ya amri, inayoonyesha mageuzi makubwa. “Programu-jalizi muhimu zinaweza kuainishwa kulingana na utendaji wao katika vikundi vifuatavyo: Orchestrator ya programu-jalizi, Udanganyifu wa Mfumo wa Faili, Meneja wa Ufikiaji wa Mbali, Uchunguzi wa Mchakato, Orodha ya Muunganisho wa Mtandao, na Usimamizi wa Huduma,” watafiti wa Kaspersky Saurabh Sharma na Vasily Berdnikov walisema katika uchambuzi. Mlango wa nyuma umetathminiwa na kampuni ya Kirusi ya usalama wa mtandao kwa imani ya kati kwa kundi la vitisho linaloitwa CoughingDown. EAGERBEE ilirekodiwa kwa mara ya kwanza na Maabara ya Usalama ya Elastic, ikihusishwa na seti ya uvamizi inayofadhiliwa na serikali na inayolenga ujasusi inayoitwa REF5961. “Mlango wa nyuma ulionyooka kitaalam” wenye uwezo wa mbele na nyuma wa usimbaji fiche wa C2 na SSL, umeundwa kutekeleza uhesabuji msingi wa mfumo na kutoa utekelezo unaofuata wa unyonyaji baada ya unyonyaji. Baadaye, toleo la programu hasidi lilionekana katika mashambulio ya kundi la vitisho vilivyoungwa mkono na serikali ya Uchina lililofuatiliwa kama Cluster Alpha kama sehemu ya operesheni pana ya kijasusi ya mtandao inayoitwa Crimson Palace kwa lengo la kuiba siri nyeti za kijeshi na kisiasa kutoka kwa serikali mashuhuri. shirika katika Asia ya Kusini-mashariki. Nguzo ya Alpha, kwa kila Sophos, inaingiliana na makundi ya vitisho yanayofuatiliwa kama BackdoorDiplomacy, REF5961, Worok, na TA428. BackdoorDiplomacy, kwa upande wake, inajulikana kuonyesha ulinganifu wa kimbinu na kikundi kingine cha watu wanaozungumza Kichina kilichopewa jina la CloudComputating (aka Faking Dragon), ambacho kimetokana na mfumo wa programu-jalizi nyingi zinazojulikana kama QSC katika mashambulizi yanayolenga sekta ya mawasiliano ya simu katika Asia Kusini. “QSC ni mfumo wa kawaida, ambao kipakiaji cha awali pekee hubaki kwenye diski wakati moduli za msingi na mtandao ziko kwenye kumbukumbu kila wakati,” Kaspersky alibainisha mnamo Novemba 2024. “Kutumia usanifu wa msingi wa programu-jalizi huwapa washambuliaji uwezo wa kudhibiti programu-jalizi ipi. (moduli) kupakia kwenye kumbukumbu kwa mahitaji kulingana na lengo la riba.” Katika seti ya hivi punde zaidi ya mashambulizi yanayohusisha EAGERBEE, DLL ya injector imeundwa ili kuzindua moduli ya mlango wa nyuma, ambayo kisha hutumiwa kukusanya maelezo ya mfumo na kupenyeza maelezo kwenye seva ya mbali ambayo muunganisho umeanzishwa kupitia tundu la TCP. Seva baadaye hujibu na Okestra ya Programu-jalizi ambayo, pamoja na kuripoti maelezo yanayohusiana na mfumo kwa seva (kwa mfano, jina la NetBIOS la kikoa; matumizi ya kumbukumbu halisi na ya kawaida; na mipangilio ya eneo la mfumo na eneo la saa), huvuna maelezo kuhusu uendeshaji wa michakato. na inangoja maagizo zaidi – Pokea na ingiza programu-jalizi kwenye kumbukumbu Pakua programu-jalizi maalum kutoka kwa kumbukumbu, ondoa programu-jalizi kutoka kwenye orodha Ondoa programu-jalizi zote kwenye orodha Angalia kama programu-jalizi imepakiwa au la “Plugins zote zina jukumu la kupokea na kutekeleza amri kutoka kwa orchestrator,” watafiti walisema, na kuongeza wanafanya shughuli za faili, kusimamia michakato, kudumisha miunganisho ya mbali, kusimamia huduma za mfumo, na kuorodhesha miunganisho ya mtandao. Kaspersky alisema pia iliona EAGERBEE ikitumwa katika mashirika kadhaa huko Asia Mashariki, na mawili kati yao yakivunjwa kwa kutumia hatari ya ProxyLogon (CVE-2021-26855) kutupa ganda la wavuti ambalo lilitumika kutekeleza amri kwenye seva, na hatimaye kupelekea kupelekwa kwa mlango wa nyuma. “Miongoni mwa hizi ni EAGERBEE, mfumo wa programu hasidi iliyoundwa kufanya kazi kwa kumbukumbu,” watafiti walisema. “Usanifu huu wa makazi ya kumbukumbu huongeza uwezo wake wa siri, na kusaidia kukwepa kugunduliwa na suluhisho za jadi za usalama.” “EAGERBEE pia huficha shughuli zake za ganda la amri kwa kuingiza msimbo hasidi katika michakato halali. Mbinu hizi huruhusu programu hasidi kuunganishwa kwa urahisi na utendakazi wa kawaida wa mfumo, na kuifanya iwe changamoto kubwa zaidi kutambua na kuchanganua.” Je, umepata makala hii ya kuvutia? Tufuate kwenye Twitter na LinkedIn ili kusoma maudhui ya kipekee tunayochapisha.
Leave a Reply