Kant's IT/Issue on IT&Security
EagerBee 악성코드, 정부 기관 및 인터넷 서비스 제공업체(ISP) 대상 백도어 공격
Kant Jo
2025. 2. 28. 19:42
EagerBee Malware Targets Government Agencies & ISPs with Stealthy Backdoor Attack
EagerBee Malware Targets Government Agencies & ISPs with Stealthy Backdoor Attack
A sophisticated cyber espionage campaign leveraging the EagerBee malware has been targeting government agencies and ISPs.
gbhackers.com
- 개요
- EagerBee는 중국 연계 위협 그룹 CoughingDown이 개발한 정교한 사이버 첩보용 악성코드
- 중동 지역의 정부 기관 및 인터넷 서비스 제공업체(ISP)를 주요 타겟으로 함
- 메모리 상주형 백도어로 탐지를 우회하며 장기적인 침투 및 정보 탈취 수행
- EagerBee의 주요 기능
- 탐지 회피 및 지속성 유지 기능
- 시스템의 정상 프로세스(explorer.exe, tsvipsrv.dll 등)에 코드 주입
- 전통적인 엔드포인트 보안 솔루션으로 탐지 어려움
- 모듈형 아키텍처를 통한 다기능 수행
- 파일 시스템 조작
- 원격 명령 실행
- 프로세스 탐색
- 네트워크 감시
- 데이터 탈취 및 외부 전송
- 암호화된 통신 채널을 통해 C2(Command and Control) 서버와 연결, 추가 페이로드 배포 가능
- 탐지 회피 및 지속성 유지 기능
- 감염 방식 및 주요 타겟
- 사우디아라비아, UAE, 카타르, 오만, 쿠웨이트, 바레인 등 중동 지역 국가 집중 공격
- Microsoft Exchange의 ProxyLogon 취약점(CVE-2021-26855) 악용 가능성
- 웹쉘(Web Shell) 업로드 후 EagerBee 백도어 배포
- 과거 유사 공격 사례에서도 취약한 이메일 서버를 초기 진입점으로 활용
- CoughingDown 위협 그룹과의 연계
- CoughingDown은 동남아 및 중동 지역의 주요 정부 및 군사 기관을 타겟으로 하는 국가 연계 해킹 조직
- C2 인프라, 코드 유사성, 운영 전술의 일관성을 근거로 EagerBee와 동일 그룹 소행으로 추정
- 국가 주도의 첩보 활동 가능성 높음
- 정치 및 군사 기밀 데이터 탈취 목적
- 보안 권고
- 행동 기반 탐지 도구 배포
- 비정상적인 시스템 동작 감지를 위한 행위 기반 분석 툴 사용
- 보안 패치 적용 및 시스템 업데이트
- Microsoft Exchange ProxyLogon 및 기타 취약점 조기 패치
- 사용자 보안 인식 교육
- 피싱 공격 및 사회공학적 기법에 대한 교육 강화
- 위협 인텔리전스 활용
- 실시간 위협 인텔리전스 플랫폼과 연계하여 새로운 공격 기법 사전 탐지
- 행동 기반 탐지 도구 배포