EAGERBEE Malware Detection: New Backdoor Variant Targets Internet Service Providers and State Bodies in the Middle East

より高度な能力を持つ再出現したばかりの NonEuclid RAT という変種がサイバー脅威の分野で注目を集める中、新しいマルウェアのイテレーションであるEagerbeeバックドアが中東の組織に対して増大する脅威を呈しています。主にインターネットサービスプロバイダー（ISP）や国家機関を標的としており、強化されたEAGERBEEバックドア変種はペイロードを展開し、ファイルシステムをスキャンし、コマンドシェルを実行でき、その攻撃能力の顕著な進化を示しています。

EAGERBEEマルウェア感染を検出

2024年には、サイバー攻撃が世界的に急増し、組織は平均的に 1,308回の攻撃 を週に受けています。さらに、多様なマルウェアの変種や攻撃技術が増え続け、研究者たちは2023年と比較して世界のマルウェア量が30%増加したと記録しています。攻撃の対象領域が拡大し、侵入方法がより高度化する中、潜在的な侵入を事前に検出することはますます難しい課題となっています。

サイバー防御者が侵入を最初の段階で発見するのを助けるために、 SOC Prime Platform は、集合サイバー防御のための世界最大の検出アルゴリズムのコレクションを提供しており、新興脅威の検出および追跡のための高度なツールセットがバックアップされています。

「 Explore Detections 」ボタンをクリックして、EAGERBEE感染に対応する洗練されたSigmaルールのセットにアクセスしてください。すべてのルールは MITRE ATT&CKフレームワーク にマッピングされており、30以上のSIEM、EDR、データレイクソリューションと互換性があります。さらに、検出は詳細なメタデータで強化されており、 CTI 参考文献、攻撃タイムライン、監査構成などが含まれています。

Explore Detections

セキュリティエンジニアは Uncoder AI を活用して、EAGERBEE攻撃に見られる敵のTTPのIOCパッケージングと遡及分析を効率化することもできます。IOCをさまざまなSIEM、EDR、データレイク言語に対応したカスタムクエリに即座に変換します。

EAGERBEEマルウェア分析

サイバーセキュリティ研究者は、新しいバージョンのEAGERBEEマルウェアフレームワークを発見しました。このフレームワークは、攻撃者によって中東のISPや政府機関を標的にするために利用されています。最新版のEAGERBEE（別名Thumtais）バックドアは、バックドアの展開用のサービスインジェクターや、ペイロード配信、ファイルアクセス、リモートコントロール用のプラグインといった、より高度な機能を持ち、顕著な進化を遂げています。

最新のマルウェアのイテレーションの使用は、中程度の確信を持ってCoughingDownと呼ばれるハッカーグループに帰属されます。EAGERBEEは当初、 Elastic Security Labsによって特定され、REF5961として知られる国家が後援するサイバースパイグループに関連付けられています。東南アジアの政府機関に対するサイバースパイ攻撃で観察され、Sophosによって 「Crimson Palace」として追跡された中国の国に後援されたハッキング集団に関連付けられています。 また、EAGERBEEは東アジアの複数の組織に展開され、そのうち2つはExchangeサーバーの悪名高いProxyLogon脆弱性（CVE-2021-26855）を通じて侵害されました。侵害後、悪意のあるウェブシェルがアップロードされ、影響を受けたサーバー上でコマンドを実行するために使用されました。

最新の攻撃作戦でEAGERBEEを武器化する際、インジェクタDLLはシステムデータを収集し、これをTCPソケットを介してリモートサーバーに送信するためにバックドアを起動します。しかし、正確な侵入点は不明です。その後、サーバーはプラグインオーケストレータで応答し、システムデータを報告し、プロセスを管理します。コマンドを実行するためのプラグインを注入、アンロード、管理し、ファイル操作、プロセス管理、リモート接続、システムサービスを行います。

EAGERBEEはそのステルス性を強化するために常に適応し、従来のセキュリティ対策を回避します。正当なプロセスに悪意のあるコードを埋め込むことで、一般的なシェル活動をレーダーから隠し、検出をより困難にしています。このマルウェアの継続的な進化は、より強化されたサイバーセキュリティ意識と積極的な防御の重要性を強調しています。 集合サイバー防御のためのSOC Prime Platform は、複数の業界分野にわたる組織と個々の研究者に、新しいマルウェアの変種や高度に増大するAPT攻撃を凌駕するための最先端のソリューションを提供します。