Provedores de serviços de internet (ISPs) e entidades governamentais no Oriente Médio estão sendo alvo de uma versão mais sofisticada do malware EAGERBEE. Essa variante atualizada, também conhecida como Thumtais, demonstra um avanço significativo em suas capacidades de backdoor, incluindo a implantação de cargas adicionais, enumeração de sistemas de arquivos e execução de comandos remotamente.
Nova variante do EAGERBEE atinge ISPs e governos com recursos aprimorados
De acordo com a análise dos pesquisadores da Kaspersky, Saurabh Sharma e Vasily Berdnikov, a estrutura conta com plugins especializados divididos em categorias funcionais como orquestração de plugins, gerenciamento de arquivos e processos, acesso remoto, listagem de conexões de rede e controle de serviços. Esses avanços indicam a evolução do EAGERBEE em ataques direcionados.
O EAGERBEE foi inicialmente documentado pelo Elastic Security Labs, que o associou a um grupo de intrusão patrocinado por governos, conhecido como REF5961. Caracterizado como um backdoor simples, ele apresentava recursos básicos de comando e controle (C2) e criptografia SSL, sendo utilizado para espionagem e exploração pós-comprometimento.
Mais recentemente, variantes foram relacionadas a operações conduzidas por grupos alinhados ao governo chinês, como o Cluster Alpha, envolvido em campanhas de espionagem cibernética batizadas como “Crimson Palace”. Esses ataques visavam informações militares e políticas sensíveis de organizações no Sudeste Asiático.
O Cluster Alpha também apresenta conexões com outros grupos como BackdoorDiplomacy, Worok e TA428, além de utilizar estruturas complexas como o QSC, que opera com módulos residentes na memória. Isso reforça o padrão de modularidade e discrição presente nas ferramentas desses grupos.
Notícias Relacionadas
Ameaça crescente
Botnet Mirai utiliza exploits de dia zero para atacar roteadores industriais e dispositivos inteligentes
Uma botnet baseada no Mirai está explorando vulnerabilidades de dia zero em roteadores industriais e dispositivos domésticos, lançando ataques DDoS de alto impacto. Saiba como se proteger.
Ataque cibernético
Casio revela que dados de 8.500 pessoas foram expostos em ataque de ransomware
Casio confirmou que o ataque de ransomware de outubro de 2024 expôs dados pessoais de 8.500 pessoas, incluindo funcionários, parceiros e clientes. A empresa não pagou resgate e tomou medidas para mitigar o impacto.
Arquitetura avançada
Nos ataques mais recentes, a variante do EAGERBEE utiliza um DLL injetor para iniciar o backdoor, que coleta informações do sistema e as envia a um servidor remoto via soquete TCP. Em troca, o servidor responde com um orquestrador de plugins, capaz de:
- Relatar informações sobre o sistema, incluindo uso de memória e configurações de localidade.
- Coletar detalhes de processos em execução.
- Receber comandos para carregar, descarregar ou verificar plugins diretamente na memória.
Essa abordagem baseada em memória confere maior furtividade ao EAGERBEE, dificultando sua detecção por soluções tradicionais de segurança. O malware utiliza técnicas avançadas, como injeção de código em processos legítimos, para evitar análises e monitoramento.
Ataques observados
A Kaspersky também identificou a presença do EAGERBEE em organizações no Leste Asiático. Em alguns casos, os invasores exploraram a vulnerabilidade ProxyLogon (CVE-2021-26855) para instalar shells da web, que posteriormente foram usados para executar comandos e implantar o backdoor.
Projetado para operar exclusivamente na memória, o EAGERBEE exemplifica uma arquitetura orientada à discrição, ocultando atividades maliciosas e garantindo operações furtivas. Segundo os pesquisadores, a sofisticação dessa ameaça apresenta desafios significativos para detecção e mitigação.
