Egerbee kötü amaçlı yazılım çerçevesinin yeni varyantları, Orta Doğu'daki devlet kuruluşlarına ve İnternet hizmet sağlayıcılarına (ISS) karşı konuşlandırılıyor.
Daha önce, kötü amaçlı yazılım, Sophos'un 'Crimson Sarayı' olarak izlediği Çin devlet destekli tehdit aktörleri tarafından yapılan saldırılarda görülmüştü.
Kaspersky araştırmacılarının yeni bir raporuna göre, kod benzerliklerine ve IP adresi çakışmalarına dayanan 'öksürük' olarak adlandırdıkları bir tehdit grubuna potansiyel bir bağlantı var.
"Egerbee Backdoor ve öksürük çekirdek modülünü yürütmek için aynı web kabuğu aracılığıyla aynı gün aynı gün hizmetlerin tutarlı bir şekilde oluşturulması nedeniyle ve Eagerbee Backdoor ve öksürük çekirdek modülü arasındaki C2 alanı örtüşmesi nedeniyle, Egerbee'nin orta güvenle değerlendirildiği için, Backdoor, öksürük tehdit grubuyla ilgilidir "Kaspersky açıklıyor
Kaspersky, Orta Doğu saldırılarındaki ilk erişim vektörünü belirleyemedi, ancak önceki durumlarda Microsoft Exchange Proxylogon kusurunun (CVE-2021-26855) sömürülmesi yoluyla iki Doğu Asya örgütünün ihlal edildiğini bildirdi.
Saldırı, yük dosyasını (ntusers0.dat) yüklemek için Sistem32 dizinine bırakılan bir enjektörün (tsvipsrv.dll) dağıtımını içerir.
Sistem başlattıktan sonra, Windows, daha sonra 'temalar' hizmetini ve SessenV, Ikeext ve MSDTC'yi kötüye kullanan enjektörü yürütür.
Arka kapı belirli zamanlarda yürütülecek şekilde yapılandırılabilir, ancak Kaspersky gözlemlenen saldırılarda 7/24 çalışacak şekilde ayarlandığını söylüyor.
Eagerbee enfekte sistemde 'dllloader1x64.dll' olarak görünür ve derhal işletim sistemi ayrıntıları ve ağ adresleri gibi temel bilgileri toplamaya başlar.
Başlatma üzerine, işlevselliğini genişleten ek eklentiler alabileceği komut ve kontrol (C2) sunucusu ile bir TCP/SSL kanalı oluşturur.
Eklentiler, yürütülmelerini yöneten bir eklenti orkestratörü (ssss.dll) tarafından belleğe enjekte edilir.
Kaspersky tarafından belgelenen beş eklenti şunlardır:
Genel olarak, Eagerbee, tehlikeye atılan sistemlerde geniş yeteneklere sahip gizli ve kalıcı bir tehdittir.
Aynı arka kapı yükleme zinciri Japonya'da da keşfedildi, bu yüzden saldırılar küresel.
Organizasyonlar tüm değişim sunucularında proxylogon'u düzeltmeli ve tehdidi erken yakalamak için Kaspersky'nin raporunda listelenen uzlaşma göstergelerini kullanmalıdır.
Cisa, son hükümet hackinin ABD Hazinesi ile sınırlı olduğunu söylüyor
Telegram Premium uygulaması olarak yeni Firescam Android veri-hırsızlığı kötü amaçlı yazılım pozları
Kötü Yazılım Botnets Son Saldırılarda Eski D-Link Yönlendiricilerini Söküyor
Yeni 'Ottercookie' sahte iş tekliflerinde bina binaları için kullanılan kötü amaçlı yazılım
Yeni Botnet NVRS, TP-Link Yönlendiricilerdeki Güvenlik Açıklarını İstismar
Kaynak: Bleeping Computer