Un sofisticado marco de malware denominado EagerBee se dirige activamente a agencias gubernamentales y proveedores de servicios de Internet (ISP).
EagerBee se dirige activamente a estas organizaciones en todo Oriente Medio.
Mientras que se descubrió que EagerBee implementaba capacidades avanzadas de puerta trasera a través de implementaciones técnicas novedosas.
Los analistas de seguridad de SOCRadar han vinculado la campaña con el grupo de amenazas CoughingDown (APT27) alineado con China a través de superposiciones de infraestructura C2 y similitudes de código.
Desglose de la secuencia de ataque
El malware emplea un proceso de inyección de varias etapas que comienza con el inyector de servicios tsvipsrv.dll, que abusa de los servicios legítimos de Windows mediante el secuestro de DLL.
Los analistas de seguridad observaron el siguiente patrón de ataque:
# Timestamp manipulation to evade detection
(Get-Item «C:\users\public\ntusers0.dat»).lastwritetime = «01/08/2019 09:57»
attrib.exe +h +s +r «C:\users\public\ntusers0.dat»
El inyector se dirige a cuatro servicios críticos como Themes Service (UXInit), SessionEnv (Configuración de escritorio remoto), IKEEXT (Módulos de codificación IKE/AuthIP) y MSDTC (Coordinador de transacciones distribuidas).
A través del proceso hueco, EagerBee implementa su carga útil principal dllloader1x64.dll mientras mantiene la residencia de la memoria. El malware implementa restricciones temporales a través de una verificación de ventana de ejecución codificada:
El marco modular de agerBee utiliza seis complementos principales administrados por ssss.dll:
// Plugin Orchestrator Structure (Simplified)
struct PLUGIN_STRUCT {
DWORD plugin_id;
CHAR plugin_name;
FARPROC init_func;
FARPROC exec_func;
FARPROC unload_func;
};
Los seis complementos principales son Manipulador del sistema de archivos, Administrador de acceso remoto, Enumerador de red, Controlador de servicios, Explorador de procesos y Exfiltrador de datos.
Los atacantes aprovecharon la vulnerabilidad ProxyLogon (CVE-2021-26855) en los servidores Microsoft Exchange para implementar shells web, y los comandos posteriores descargaron componentes de EagerBee.
El Consejo de Seguridad Cibernética de los EAU recomienda medidas de mitigación críticas para defenderse de las amenazas cibernéticas.
Las organizaciones deben parchear los servidores Exchange para protegerlos contra CVE-2021-26855, buscar activamente DLL de servicios modificados mediante comprobaciones del sistema de archivos y monitorear el Administrador de control de servicios para detectar configuraciones inesperadas, como cambios no autorizados en las credenciales del servicio MSDTC.
La implementación de estas medidas ayuda a fortalecer la seguridad del sistema y prevenir la explotación por parte de actores de amenazas.
La campaña ha impactado a organizaciones en Arabia Saudita, Emiratos Árabes Unidos y Qatar, con evidencia de movimiento lateral a través de credenciales de administrador comprometidas (uso de red \\TARGET_IP\C$ /usuario:[ELIMINADO]).
Hasta febrero de 2025, no se ha observado ninguna implementación de ransomware, pero las capacidades de la puerta trasera permiten tomar el control total del sistema.
Las autoridades de ciberseguridad instan a una revisión inmediata de las configuraciones del servicio y análisis de la memoria para su detección, ya que EagerBee deja mínimos artefactos en el disco.
Indicadores de compromiso (IoC)
- IP C2: 45.90.58[.]103, 185.195.237[.]123
Hashes de carga útil: SHA256: a3f2d…redactado (tsvipsrv.dll) - Claves de registro: HKLM\SYSTEM\CurrentControlSet\Services\MSDTC\ImagePath
