Une nouvelle variante du backdoor EAGERBEE cible les fournisseurs d'accès à Internet et les gouvernements au Moyen-Orient

Une nouvelle variante de EAGERBEE est en exploitation active en ce moment et cible les fournisseurs de services Internet et des entités gouvernementales au Moyen-Orient. EAGERBEE est une porte dérobée (backdoor) utilisée dans des campagnes d'espionnage. 

Exploitation d’une ancienne vulnérabilité critique datant de 2021

Bien que le vecteur d’attaque initial ne soit pas clairement établi, il a été constaté que EAGERBEE exploite la vulnérabilité ProxyLogon (CVE-2021-26855) qui avait été massivement exploitée en 2021. Pour rappel, ProxyLogon est une vulnérabilité critique affectant Microsoft Exchange Server, exploitée pour contourner l'authentification et exécuter du code arbitraire à distance. 

L’activité EAGERBEE en cours confirme que plus de trois (3) ans après sa divulgation, la vulnérabilité majeure ProxyLogon n’a toujours pas été corrigée dans certaines organisations sensibles ou critiques.

Espionnage

L’activité malicieuse observée semble indiquer des objectifs d’espionnage comme ce fut le cas d’opérations antérieures. EAGERBEE  est souvent associé à des acteurs malicieux choinois.

Noter qu’une fois que la machine victime est infectée, EAGERBEE est utilisé pour collecter des informations sur le système (nom de la machine, taux d’utilisation de la mémoire, fuseau horaire, les processus en cours d'exécution, etc.) et les exfiltrer vers un serveur distant de commande et de contrôle (C&C) avec lequel une connexion persistante est établie. La cible attend ensuite des instructions.

Les informations initiales collectées par EAGERBEE permettent sans doute à l’acteur malicieux qui le contrôle de confirmer sa cible avant de passer à la phase active de post-exploitation.

Indicateurs de compromission (IOC)

Les IOC associées à cette attaque sont les suivants:

• Hash MD5 : 183f73306c2d1c7266a06247cedd3ee2
• Hash MD5 `9d93528e05762875cf2d160f15554f44
• Hash MD5 : c651412abdc9cf3105dfbafe54766c44
• Hash MD5 26d1adb6d0bcc65e758edaf71a8f665d
• Hash MD5 35ece05b5500a8fc422cec87595140a7
• IP: 62.233.57.94
• IP: 82.118.21.230
• IP: 194.71.107.215
• IP: 151.236.16.167
• IP: 5.34.176.46
• IP: 195.123.242.120
• Domaine: www.socialentertainments.store
• Domaine: www.rambiler.com

Il se pourrait que la liste évolue au fur et à mesure qu’on en saura plus sur cette série d’attaques.

Pas d’attaque observée en Amérique du Nord

Pour l'instant, le périmètre d’action de EAGERBEE semble être le Moyen-Orient. 

Aucune exploitation ne semble avoir ciblée l’Amérique du Nord pour l’instant. Toutefois, au regard de la situation géopolitique actuelle, et du fait qu’une vulnérabilité critique connue est exploitée, nous recommandons fortement aux organisations et aux gouvernements de prendre des mesures pour se protéger contre ce backdoor.

Recommandations

• Appliquer les correctifs contre la vulnérabilité ProxyLogon (CVE-2021-26855). Ca urge.
• Bloquer ou surveiller les activités associées aux IOC présentés ci-dessous.

Que fait Streamscan pour protéger ses partenaires MDR

• Les IOC associés à cette série d’attaques ont été injectés dans notre technologie CDS qui surveille votre réseau. 
• Nous maintenons notre vigilance dans la surveillance de votre réseau
• Nous continuons à suivre l’évolution de la situation et nous vous tiendrons informé si nécessaire.

Besoin d'aide pour améliorer votre cybersécurité? Parlez à l'un de nos experts ou appelez-nous au +1 877 208-9040.