De nouvelles variantes du framework de logiciels malveillants Eagerbee sont déployées contre des organisations gouvernementales et des fournisseurs de services Internet (FAI) au Moyen-Orient.
Auparavant, le malware était vu dans des attaques menées par des acteurs de la menace soutenus par l’État chinois que Sophos identifiait comme « Crimson Palace ».’
Selon un nouveau rapport des chercheurs de Kaspersky, il existe un lien potentiel avec un groupe de menaces qu’ils appellent « Tousser », basé sur des similitudes de code et des chevauchements d’adresses IP.
« En raison de la création cohérente de services le même jour via le même shell Web pour exécuter la porte dérobée EAGERBEE et le module de base ToussoteMent, et du chevauchement du domaine C2 entre la porte dérobée EAGERBEE et le module de Base ToussoteMent, nous évaluons avec une confiance moyenne que la porte dérobée EAGERBEE est liée au groupe de menaces ToussoteMent », explique Kaspersky
Le cadre des logiciels malveillants Eagerbee
Kaspersky n’a pas pu déterminer le vecteur d’accès initial dans les attaques au Moyen-Orient, mais signale que, dans des cas précédents, deux organisations d’Asie de l’Est ont été piratées via l’exploitation de la faille Microsoft Exchange ProxyLogon (CVE-2021-26855).
L’attaque implique le déploiement d’un injecteur (tsvipsrv.dll) déposé dans le répertoire system32 pour charger le fichier de charge utile (ntusers0.données).
Au démarrage du système, Windows exécute l’injecteur, qui abuse ensuite du service « Thèmes », ainsi que de SessionEnv, IKEEXT et MSDTC, pour écrire la charge utile de la porte dérobée en mémoire à l’aide du détournement de DLL.
La porte dérobée peut être configurée pour s’exécuter à des moments précis, mais Kaspersky affirme qu’elle a été configurée pour s’exécuter 24h / 24 et 7j / 7 dans les attaques observées.
Eager bee apparaît sur le système infecté sous le nom de ‘ dllloader1x64.dll ‘ et commence immédiatement à collecter des informations de base telles que les détails du système d’exploitation et les adresses réseau.
Lors de l’initialisation, il établit un canal TCP/SSL avec le serveur de commande et de contrôle (C2) à partir duquel il peut recevoir des plugins supplémentaires qui étendent ses fonctionnalités.
Les plugins sont injectés en mémoire par un orchestrateur de plugins (ssss.dll), qui gère leur exécution.
Les cinq plugins documentés par Kaspersky sont les suivants:
- Plugin Gestionnaire de fichiers: Gère les opérations du système de fichiers, y compris la liste, le renommage, le déplacement, la copie et la suppression de fichiers ou de répertoires. Il peut ajuster les autorisations de fichiers, injecter des charges utiles supplémentaires en mémoire et exécuter des lignes de commande. Il récupère également les structures détaillées des fichiers et des dossiers et gère les étiquettes de volume et les horodatages.
- Plugin Process Manager: Gère les processus système en répertoriant les processus en cours d’exécution, en lançant de nouveaux et en mettant fin aux processus existants. Il peut exécuter des lignes de commande ou des modules dans le contexte de sécurité de comptes d’utilisateurs spécifiques.
- Plugin Remote Access Manager: Facilite l’accès à distance en activant les sessions RDP, en maintenant des connexions RDP simultanées et en fournissant un accès au shell de commande. Il télécharge également des fichiers à partir d’URL spécifiées et injecte des interpréteurs de commandes dans des processus légitimes pour la furtivité.
- Plugin Service Manager: Contrôle les services système en les créant, en les démarrant, en les arrêtant, en les supprimant ou en les énumérant. Il peut gérer à la fois des processus de service autonomes et partagés tout en collectant les détails de l’état du service.
- Plugin Network Manager: Surveille et répertorie les connexions réseau actives, rassemblant des détails tels que l’état, les adresses et ports locaux/distants, ainsi que les identifiants de processus associés pour les protocoles IPv4 et IPv6.
Dans l’ensemble, Eagerbee est une menace furtive et persistante dotée de capacités étendues sur les systèmes compromis.
La même chaîne de chargement de porte dérobée a également été découverte au Japon, de sorte que les attaques sont mondiales.
Les organisations doivent patcher ProxyLogon sur tous les serveurs Exchange et utiliser les indicateurs de compromission répertoriés dans le rapport de Kaspersky pour détecter rapidement la menace.