详细内容或原文请订阅后点击阅览
Eagerbee 后门针对中东的政府实体和 ISP
专家发现,Eagerbee 后门的新变种被用于攻击中东的政府组织和 ISP。卡巴斯基研究人员报告称,Eagerbee 后门的新变种被用于攻击中东的互联网服务提供商 (ISP) 和政府实体。卡巴斯基的分析揭示了新的攻击组件,包括 [...]
来源:Security Affairs _恶意软件Eagerbee 后门针对中东的政府实体和 ISP
Eagerbee 后门针对中东的政府实体和 ISP
专家发现 Eagerbee 后门的新变种被用于攻击中东的政府组织和 ISP。
卡巴斯基研究人员报告称,Eagerbee 后门的新变种被用于攻击中东的互联网服务提供商 (ISP) 和政府实体。
卡巴斯基的分析揭示了新的攻击组件,包括用于后门部署的服务注入器和用于有效载荷传递、文件/系统访问和远程控制的插件。
初始访问方法仍然未知,但威胁行为者通过 SessionEnv 服务部署了后门注入器、tsvipsrv.dll 和有效载荷 ntusers0.dat。
tsvipsrv.dll ntusers0.dat服务注入器以主题服务为目标,将 EAGERBEE 后门与存根代码一起注入其内存以解压缩恶意软件。它通过存根解压缩并执行后门,然后通过恢复原始处理程序进行清理。
名为 dllloader1x64.dll 的后门收集系统信息,包括 NetBIOS 名称、操作系统详细信息、处理器架构和 IP 地址。它使用互斥锁 (mstoolFtip32W) 来确保单个实例,并包括时间检查以在指定的每周时间表内计划执行。但是,在观察到的情况下,它被配置为全天候运行,每 15 秒检查一次是否超出允许的执行窗口。
dllloader1x64.dll mstoolFtip32W恶意软件的配置存储在文件中或硬编码在后门二进制文件中,其中包括使用 XOR 解码的 C2 服务器详细信息。恶意代码从注册表中检索代理设置,通过代理或直接连接到 C2 服务器,并支持 SSL/TLS(如果已配置)。建立 TCP 连接后,它将系统数据发送到 C2,C2 使用插件编排器进行响应。后门验证响应并执行有效负载,而无需将其映射到内存中。
( –