A Kaspersky kutatói fedezték fel az EAGERBEE backdoor új variánsait, amelyeket a Közel-Keleten használtak különböző kormányzati szervek és ISP-k ellen. Az elemzésben új támadási komponenseket tártak fel, köztük egy szolgáltatásinjektort a backdoorok telepítéséhez, bővítményeket a payloadok célbajuttatásához, fájl/rendszer hozzáférést és remote controlt.
A felhasznált módszer a kezdeti hozzáféréshez még ismeretlen, de a támadók a SessionEnv szolgáltatáson keresztül telepítették tsvipsrv.dll backdoor injektort és a ntusers0.dat payloadot. Az injektor a Themes szolgáltatás memóriájába juttatja az EAGERBEE backdoort és a malware kicsomagolásához szükséges stub kódot is. A stubon keresztül bontja ki és futtatja a backdoort, majd az eredeti kezelőprogram visszaállításával eltünteti a nyomokat.
A dllloader1x64.dll nevű backdoor rendszerinformációkat gyűjt, ideértve a NetBIOS nevet, operációs rendszer adatait, a processzor felépítését és IP címeket. Mutexet használ, hogy biztosítsa az egyszeri bejutást, illetve tartalmaz egy time checket is, hogy a végrehajtást egy megadott heti ütemezésen belül tervezze. Ugyanakkor úgy került beállításra, hogy a megfigyelt esetekben 24/7 fusson, 15 másodpercenként ellenőrizve, hogy nem a megengedett végrehajtási ablakon kívül üzemel-e.
A kártékony program konfigurációja vagy fájlban kerül tárolásra, vagy pedig egy backdoor binarybe kerül hardcode-olva, és tartalmazza a XOR segítségével dekódolt C2 szerver adatait. A rosszindulatú kód lekérdezi a proxy-beállításokat a registryből majd proxyval vagy közvetlen csatlakozik a C2 szerverhez, és támogatja az SSL/TLS-t amennyiben az konfigurálva van. A TCP csatlakozás felállítása után rendszeradatokat küld a C2 szervernek, amely a bővítménykezelő rendszerrel válaszol. A backdoor jóváhagyja a választ, majd futtatja a payloadot anélkül, hogy a memóriába mappelné.
A bővítménykezelő injektálja magát, további adatokat gyűjt (domain név, memóriahasználat, területi beállítás, időzóna, folyamatadatok és plugin ID-k), majd jelenti a C2 szerver számára. Ellenőrzi továbbá a megemelt jogosultságokat is, és összegyűjti az összes adott pillanatban futó folyamat adatait, beleértve a folyamatazonosítókat, a threadek számát, a szülői folyamatokat és a futtatható útvonalakat.
A backdoor DLL-fájlok formájában használja a pluginokat, és három módszerrel exportál ordinálokat. A plugin-orchestrator a bővítmény exportált methódusának meghívásával kezdődik az 3-as számú ordinallal. A methódus befecskendezi a bővítmény DLL-t a memóriába, inicializálja a DllMain methódussal (ordinal 1), majd a 2-es ordinal metódusával végrehajtja a funkcióit. Az orchestrator képes a bővítmények számára végrehajtandó parancsokat küldeni – a kutatók öt, a backdoor által használt plugint elemeztek:
Fájlkezelő bővítmény (File Manager Plugin): Kezeli a fájlrendszer műveleteit, és képes módosítani a fájlengedélyeket, további payloadokat juttatni a memóriába, valamint parancssorokat végrehajtani.
Folyamatkezelő bővítmény (Process Manager Plugin): Kezeli a rendszerfolyamatokat, és képes parancssorokat vagy modulokat végrehajtani az adott felhasználói fiókok biztonsági környezetében.
Távoli hozzáférés-kezelő bővítmény (Remote Access Manager Plugin): RDP munkamenetek jóváhagyásával megkönnyíti a távoli hozzáférést, továbbá a rejtőzködés érdekében képes parancssorokat injektálni a legitim folyamatokba.
Szolgáltatáskezelő bővítmény (Service Manager Plugin): Irányítja a rendszer szolgáltatásat.
Hálózatkezelő bővítmény (Network Manager Plugin): Monitorozza és listázza az aktív hálózati kapcsolatokat.
A Kaspersky jelentés szerint az EAGERBEE-t több kelet-ázsiai szervezetnél is bevetették, amelyből két szervezethez az Exchange szervereken található ProxyLogon sérülékenységen (CVE-2021-26855) keresztül jutottak be, majd rosszindulatú webshellt töltöttek és használtak fel parancsok végrehajtására a feltört szervereken. Mivel ugyanazon a napon ugyanazon webshell segítségével hoztak létre szolgáltatásokat az EAGERBEE backdoor és a CoughingDown Core Module futtatására, illetve a backdoor és a Core Module között C2-tartománybéli átfedés tapasztalható, a Kaspersky közepes biztonsággal úgy értékelte, hogy az EAGERBEE és a CoughingDown fenyegetőcsoport kapcsolatban áll egymással.
