برنامج EggStreme الخبيث الخالي من الملفات

وقعت شركة عسكرية مقرها الفلبين ضحية لحملة تجسس إلكتروني متطورة مرتبطة بمجموعة تهديدات متقدمة ومستمرة (APT) يُعتقد أنها من الصين. استغل المهاجمون إطار عمل برمجي خبيث بدون ملفات، لم يكن معروفًا سابقًا، يُسمى EggStreme، وهو مصمم للحفاظ على وصول طويل الأمد ومنخفض المستوى إلى الأنظمة المخترقة.

إطار عمل EggStreme: متعدد المراحل وبدون ملفات

EggStreme ليس برنامجًا خبيثًا واحدًا، بل هو إطار عمل متكامل من المكونات. تبدأ سلسلة إصابته بـ EggStremeFuel (mscorsvc.dll)، الذي يُحلل النظام قبل نشر EggStremeLoader لضمان استمراريته. يليه EggStremeReflectiveLoader، الذي يُفعّل البرنامج الخلفي الرئيسي، EggStremeAgent.

يضمن تنفيذ الإطار بدون ملفات تشغيل الشيفرات الخبيثة بالكامل في الذاكرة، مع ترك آثار ضئيلة على القرص. إضافةً إلى ذلك، يُعقّد استخدام التحميل الجانبي لملفات DLL طوال سلسلة الهجوم الكشفَ والتحقيقَ الجنائي.

EggStremeAgent: الجهاز العصبي المركزي

في صميم هذا الإطار، يكمن EggStremeAgent، وهو باب خلفي كامل الوظائف يعمل كمركز تحكم رئيسي للمهاجم. يُمكّن هذا الباب من استطلاع النظام، وتصعيد الصلاحيات، والتحرك الجانبي، مع نشر EggStremeKeylogger لالتقاط ضغطات المفاتيح عبر جلسات المستخدمين النشطة.

يتواصل الباب الخلفي مع البنية الأساسية للتحكم والأوامر (C2) الخاصة به عبر بروتوكول Google Remote Procedure Call (gRPC) ويدعم 58 أمرًا مذهلاً، بدءًا من استخراج البيانات وتنفيذ shellcode إلى حقن الحمولة.

إحدى هذه الزرعات المساعدة، EggStremeWizard (xwizards.dll)، تُزوّد المهاجمين بواجهة عكسية وقدرات نقل ملفات. يتضمن تصميمها خوادم C2 متعددة، مما يضمن المرونة حتى في حال تعطل أحد الخوادم.

قدرات EggStremeFuel

الوحدة الأساسية، EggStremeFuel، مُكلفة بالاستطلاع والتواصل مع البنية التحتية للمهاجمين. وهي تُتيح للمُشغّلين ما يلي:

• جمع معلومات محرك النظام.
• ابدأ تشغيل cmd.exe وحافظ على الاتصال عبر الأنابيب.
• قم بإرسال عنوان IP الخارجي للجهاز باستخدام myexternalip.com/raw.
• قراءة الملفات المحلية والبعيدة وحفظ محتواها أو نقله.
• تفريغ بيانات التكوين الموجودة في الذاكرة إلى القرص.
• قم بإغلاق الاتصالات عند الحاجة لذلك.

التكتيكات والتقنيات والأدوات

يستخدم مُصنّعو التهديدات باستمرار التحميل الجانبي لملفات DLL من خلال تشغيل ملفات ثنائية شرعية تُحمّل ملفات DLL ضارة. كما يدمجون أداة Stowaway Proxy لضمان وجودهم داخل الشبكات الداخلية. إلى جانب تدفق تنفيذ البرامج الضارة بدون ملفات، تتيح هذه التقنيات للعملية التداخل مع نشاط النظام العادي وتجنب اكتشافها بواسطة أدوات الأمان التقليدية.

السياق الجيوسياسي وتحديات الإسناد

إن استهداف الكيانات الفلبينية من قبل جماعات مرتبطة بالصين ليس بالأمر الجديد، ومن المرجح أنه متأثر بالنزاعات الإقليمية المستمرة في بحر الصين الجنوبي والتي تشمل الصين وفيتنام والفلبين وتايوان وماليزيا وبروناي.

على الرغم من عدم نسب هذه الحملة تحديدًا إلى أي مجموعة تهديدات متقدمة ومستمرة صينية معروفة، إلا أن أهدافها ومصالحها تتوافق بشدة مع تلك المرتبطة تاريخيًا بجهات فاعلة صينية مدعومة من الدولة. بدأ الباحثون في تتبع النشاط في أوائل عام ٢٠٢٤، لكنهم لم يربطوه بشكل قاطع بمجموعة تهديد قائمة.

تهديد مستمر ومراوغ

تتميز عائلة برمجيات EggStreme الخبيثة بمستوى عالٍ من التطور والمثابرة والقدرة على التكيف. ويؤكد اعتمادها على تقنيات خالية من الملفات، وتنفيذ متعدد المراحل، وبنية تحتية متطورة للقيادة والتحكم (C2)، على المعرفة المتقدمة للمشغلين بالتدابير الدفاعية الحديثة. وبالنسبة للمدافعين، تُذكر هذه الحملة بتطور مشهد التهديدات وأهمية استراتيجيات الكشف والاستجابة الاستباقية.