Eagerbee Backdoor - Mối nguy hại lớn cho các đơn vị chính phủ và các nhà cung cấp dịch vụ Internet tại Trung Đông
Tổng quan
Vào tháng 01/2025, Các nhà nghiên cứu của Kaspersky đã ghi nhận một biến thể mới của Eagerbee Backdoor đang được sử dụng trong các cuộc tấn công nhắm vào các nhà cung cấp dịch vụ Internet (ISP) và các tổ chức chính phủ ở Trung Đông.
Biến thể mới của EAGERBEE được trang bị nhiều thành phần khác nhau cho phép Backdoor triển khai trèn các Payloads, liệt kê thông tin hệ thống và thực thi các lệnh shell,… Phương thức truy cập ban đầu vẫn chưa được xác định, tuy nhiên chiến dịch lần này được dựa trên việc trèn Payloads, tsvipsrd.dll và payload ntusers0.dat thông qua dịch vụ SessionEnv.
Phát hiện chính
Bản chất của Eagerbee backdoor là một dạng phần mềm độc hại (malware) được thiết kế để cho phép kẻ tấn công truy cập và điều khiển hệ thống mà không cần sự cho phép của người dùng hoặc các biện pháp bảo mật thông thường. Eagerbee backdoor có thể được sử dụng để thu thập dữ liệu nhạy cảm, cài đặt các phần mềm độc hại khác, hoặc thực hiện các hành động xấu mà người dùng không hề hay biết.
Eagerbee backdoor hoạt động bằng cách tạo ra một Backdoor trong hệ thống bị nhiễm. Phương thức xâm nhập ban đầu được xác định là có liên quan tới lỗ hổng ProxyLogon (CVE-2021-26855) trên Microsoft Exchange Server.
EagerBee backdoor sau khi vào trong hệ thống của nạn nhân sẽ có 5 hoạt động chính được ghi nhận theo các báo cáo của Kaspersky.
Lây nhiễm ban đầu
Cài đặt backdoor
Kết nối với máy chủ điều khiển
Thực hiện các hành vi độc hại
Ẩn mình
Luồng tấn công
Ban đầu kẻ tấn công sẽ thực hiện triển khai các Command để trèn một backdoor có tên là “tsvipsrv.dll“. Kẻ tấn công sẽ ẩn dấu và chỉnh sửa thuộc tính của các tệp, đồng thời tận dụng lỗ hổng DLL hijacking để thực thi mã độc.
Đầu tiên kẻ tấn công sẽ thực hiện thay đổi thời gian tạo, truy cập và chỉnh sửa cuối cùng của tệp “ntuser0.dat“ thành "1/8/2019 9:57", có thể để làm cho tệp trông như đã tồn tại lâu hơn nhằm mục đích tránh sự chú ý của những người giám sát ATTT.
Sau khi thực hiện thay đổi thời gian của File “ntuser0.dat“, kẻ tấn công sử dụng “attrib.exe“ nhằm mục đích thay đổi thuộc tính của tệp.
attrib.exe -s -h -a C:\users\public\ntusers0.dat
attrib.exe +s +h +a C:\users\public\ntusers0.dat
attrib.exe +s +h +a system32\tsvipsrv.dll
\=> Những lệnh này nhằm mục đích chuyển đổi các tệp “ntuser0.da” và “tsvipsrv.dll“ thành các tệp hệ thống, ẩn và lưu trữ, làm cho chúng khó bị phát hiện hơn.
Sau khi thực hiện các thay đổi thuộc tính của tệp trên, kẻ tấn công bắt đầu cấu hình và khởi động lại dịch vụ “sessionenv”
net.exe stop sessionenv
cmd.exe /c "sc config sessionenv Start= auto"
net.exe start sessionenv
\=> Điều này có thể nhằm mục đích ngăn chặn hoặc cấu hình lại dịch vụ để hỗ trợ việc thực thi mã độc.
Cuối cùng kẻ tấn công thực hiện các kết nối mạng và thao tác trên tệp từ xa. Tệp độc hại có liên quan tới lỗ hổng DLL hijacking: tsvipsrv.dll. Sau khi máy nạn nhân đã được lây nhiễm EAGERBEE được sử dụng để thu thập thông tin hệ thống (tên máy, mức sử dụng bộ nhớ, múi giờ, các tiến trình đang chạy, v.v.) và lọc thông tin đó đến máy C&C và thực hiện các khai thác độc hại.
Bên cạnh tệp Backdoor độc hại: ‘“tsvipsrv.dll“ kẻ tấn công còn sử dụng một loạt các tệp .dll và Plugins độc hại khác như:
dllloader1x64.dll: Nhằm thu thập thông tin NetBIOS của máy nạn nhân, thông tin hệ điều hành, danh sách địa chỉ IPv4 và IPv6.
DllMain: nhằm liệt kê danh sách ổ đĩa, các file tệp tin trong hệ thống hay chèn các Payload độc hại vào bộ nhớ .
Theo báo cáo của Kaspersky còn ghi nhận thêm được, kẻ tấn công thực hiện khởi chạy các lệnh Shell thông qua chèn cmd.exe vào trong tiến trình DllHosst.exe nhằm khai thác và xâm nhập trái phép vào hệ thống.
\=> Các câu lệnh trên nhằm mục đích
Liệt kê người dùng và nhóm quản trị viên
Truy vấn các thông tin hệ thống và tài khoản
Kết nối đến tài nguyên chia sẻ bằng thông tin đăng nhập đánh cắp
Lưu trũ các thông tin lấy được
Đặc biệt lỗ hổng ProxyLogon (CVE-2021-26855) trong máy chủ Exchange đã được khai thác sau đó các webshell độc hại được tải lên và sử dụng để thực thi các lệnh trên các máy chủ bị vi phạm. Những kẻ tấn công đã lạm dụng các dịch vụ Windows hợp pháp MSDTC, IKEEXT và SessionEnv để thực thi các tệp DLL độc hại: oci.dll, wlbsctrl.dll và TSVIPSrv.dll, tương ứng.
Danh sách IOC được ghi nhận
Mã Hash:
183f73306c2d1c7266a06247cedd3ee2
9d93528e05762875cf2d160f15554f44
c651412abdc9cf3105dfbafe54766c44
26d1adb6d0bcc65e758edaf71a8f665d
cbe0cca151a6ecea47cfaa25c3b1c8a8
35ece05b5500a8fc422cec87595140a7
Domains và Ips độc hại
62.233.57[.]94
82.118.21[.]230
194.71.107[.]215
151.236.16[.]167
www.socialentertainments[.]store
www.rambiler[.]com
5.34.176[.]46
195.123.242[.]120
195.123.217[.]139
Khuyến nghị
Cập nhật hệ thống: Đảm bảo tất cả các hệ thống và phần mềm, đặc biệt là Microsoft Exchange Server, được cập nhật các bản vá bảo mật mới nhất để ngăn chặn việc lợi dụng các lỗ hổng như ProxyLogon.
Giám sát mạng: Sử dụng các công cụ giám sát để phát hiện các hoạt động bất thường trong hệ thống, đặc biệt là các kết nối đến các máy chủ không xác định.
Phân tích hành vi: Triển khai các giải pháp bảo mật dựa trên hành vi để phát hiện các hoạt động đáng ngờ, chẳng hạn như việc tiêm mã vào các tiến trình hợp pháp.
Đào tạo nhân viên: Nâng cao nhận thức về an ninh mạng cho nhân viên để giảm thiểu nguy cơ bị lừa đảo và các hình thức tấn công xã hội khác.
Kết luận
Các mẫu mã độc ngày càng phát triển khi các tác nhân đe dọa phát triển, các công cụ ngày càng tinh vi cho các hoạt động độc hại. Trong số đó có EAGERBEE, một mẫu phần mềm độc hại được thiết kế chủ yếu để hoạt động trong bộ nhớ. EAGERBEE cũng che giấu các hoạt động chạy lệnh Shell của mình bằng cách chèn mã độc vào các tiến trình hợp pháp, chẳng hạn như dllhost.exe và thực thi nó.
Trong các cuộc tấn công EAGERBEE ở Đông Á, các tổ chức đã bị xâm nhập thông qua lỗ hổng ProxyLogon. ProxyLogon vẫn là phương thức khai thác phổ biến của những kẻ tấn công nhằm giành quyền truy cập trái phép vào máy chủ Exchange. Vá kịp thời lỗ hổng này là rất quan trọng để bảo mạng của người dùng.
