بر اساس گزارش منتشرشده در ۷ ژانویه ۲۰۲۵، محققان کسپرسکی به بررسی بدافزار EAGERBEE پرداخته و دریافتند که این بدافزار با افزودن مؤلفههای جدید، حملاتی را علیه ارائهدهندگان خدمات اینترنتی (ISP) و نهادهای دولتی در خاورمیانه انجام داده است.
مهاجمان با استفاده از یک فایل DLL مخرب به نام tsvipsrv.dll و یک payload به نام ntusers0.dat، سرویس SessionEnv را دستکاری کرده و بدافزار را به سیستم قربانی تزریق میکنند.
- عملکرد EAGERBEE:
- جمعآوری اطلاعات سیستم
- ارتباط با سرور فرماندهی و کنترل (C2)
- دریافت و اجرای پلاگینهای مختلف برای انجام عملیات مخرب
- پلاگینهای شناساییشده:
- مدیر فایل: انجام عملیات روی سیستم فایل مانند فهرستبندی، کپی، حذف و تزریق payloadها
- مدیر فرآیند: فهرستبندی، خاتمه و اجرای فرآیندها
- مدیر خدمات: کنترل و مدیریت سرویسهای سیستم
- روشهای پنهانسازی: بدافزار با تزریق کد به فرآیندهای قانونی مانند
dllhost.exeو اجرای آن در نشستهای کاربری، شناسایی را دشوار میکند.
یک نظر