EggStreme Fileless Malware

ফিলিপাইন-ভিত্তিক একটি সামরিক কোম্পানি একটি উন্নত সাইবার-গুপ্তচরবৃত্তির শিকার হয়েছে, যা একটি অ্যাডভান্সড পারসেন্টিস থ্রেট (APT) গ্রুপের সাথে যুক্ত বলে মনে করা হচ্ছে যা চীন থেকে উদ্ভূত বলে মনে করা হচ্ছে। আক্রমণকারীরা EggStreme নামক একটি পূর্বে অজানা ফাইলবিহীন ম্যালওয়্যার ফ্রেমওয়ার্ক ব্যবহার করেছিল, যা দীর্ঘমেয়াদী, কম প্রোফাইলের সিস্টেমে অ্যাক্সেস বজায় রাখার জন্য ডিজাইন করা হয়েছিল।

এগস্ট্রিম ফ্রেমওয়ার্ক: মাল্টি-স্টেজ এবং ফাইললেস

EggStreme কোনও একক ম্যালওয়্যার নয় বরং এটি উপাদানগুলির একটি দৃঢ়ভাবে সমন্বিত কাঠামো। এর সংক্রমণ শৃঙ্খল EggStremeFuel (mscorsvc.dll) দিয়ে শুরু হয়, যা EggStremeLoader স্থাপনের আগে সিস্টেমটিকে প্রোফাইল করে স্থায়ীত্ব প্রতিষ্ঠা করে। এর পরে EggStremeReflectiveLoader আসে, যা মূল ব্যাকডোর, EggStremeAgent কে ট্রিগার করে।

ফ্রেমওয়ার্কের ফাইললেস এক্সিকিউশন নিশ্চিত করে যে ক্ষতিকারক কোড সম্পূর্ণরূপে মেমরিতে চলে, ডিস্কে ন্যূনতম চিহ্ন রেখে যায়। এছাড়াও, আক্রমণ শৃঙ্খল জুড়ে DLL সাইডলোডিং ব্যবহার সনাক্তকরণ এবং ফরেনসিককে জটিল করে তোলে।

এগস্ট্রিম এজেন্ট: কেন্দ্রীয় স্নায়ুতন্ত্র

এই কাঠামোর মূলে রয়েছে EggStremeAgent, একটি সম্পূর্ণ কার্যকরী ব্যাকডোর যা আক্রমণকারীর প্রাথমিক নিয়ন্ত্রণ কেন্দ্র হিসেবে কাজ করে। এটি সিস্টেম রিকনেসান্স, প্রিভিলেজ এসকেলেশন এবং ল্যাটারাল মুভমেন্ট সক্ষম করে এবং একই সাথে সক্রিয় ব্যবহারকারী সেশন জুড়ে কীস্ট্রোক ক্যাপচার করার জন্য EggStremeKeylogger মোতায়েন করে।

ব্যাকডোরটি গুগল রিমোট প্রসিডিউর কল (gRPC) প্রোটোকলের মাধ্যমে তার কমান্ড-এন্ড-কন্ট্রোল (C2) অবকাঠামোর সাথে যোগাযোগ করে এবং ডেটা এক্সফিল্ট্রেশন এবং শেলকোড এক্সিকিউশন থেকে শুরু করে পেলোড ইনজেকশন পর্যন্ত ৫৮টি কমান্ড সমর্থন করে।

একটি সহায়ক ইমপ্লান্ট, EggStremeWizard (xwizards.dll), আক্রমণকারীদের একটি বিপরীত শেল এবং ফাইল স্থানান্তর ক্ষমতা প্রদান করে। এর নকশায় একাধিক C2 সার্ভার অন্তর্ভুক্ত রয়েছে, যা একটি সার্ভার ব্যাহত হলেও স্থিতিস্থাপকতা নিশ্চিত করে।

এগস্ট্রিমফুয়েলের ক্ষমতা

প্রাথমিক মডিউল, EggStremeFuel, আক্রমণকারীদের অবকাঠামোর সাথে অনুসন্ধান এবং যোগাযোগ স্থাপনের দায়িত্বপ্রাপ্ত। এটি অপারেটরদের নিম্নলিখিত কাজগুলি করার অনুমতি দেয়:

• সিস্টেম ড্রাইভের তথ্য সংগ্রহ করুন।
• cmd.exe শুরু করুন এবং পাইপের মাধ্যমে যোগাযোগ বজায় রাখুন।
• myexternalip.com/raw ব্যবহার করে মেশিনের বহিরাগত IP ঠিকানা প্রেরণ করুন।
• স্থানীয় এবং দূরবর্তী ফাইলগুলি পড়ুন, তাদের সামগ্রী সংরক্ষণ বা প্রেরণ করুন।
• মেমোরির মধ্যে থাকা কনফিগারেশন ডেটা ডিস্কে ডাম্প করুন।
• প্রয়োজনে সংযোগ বন্ধ করে দিন।

কৌশল, কৌশল এবং সরঞ্জাম

হুমকিদাতারা ধারাবাহিকভাবে DLL সাইডলোডিং ব্যবহার করে বৈধ বাইনারি চালু করে যা ক্ষতিকারক DLL লোড করে। তারা অভ্যন্তরীণ নেটওয়ার্কের মধ্যে একটি অবস্থান নিশ্চিত করার জন্য স্টোওয়ে প্রক্সি ইউটিলিটিও সংহত করে। ম্যালওয়্যারের ফাইললেস এক্সিকিউশন ফ্লোয়ের সাথে মিলিত হয়ে, এই কৌশলগুলি অপারেশনটিকে স্বাভাবিক সিস্টেম কার্যকলাপের সাথে মিশে যেতে এবং ঐতিহ্যবাহী নিরাপত্তা সরঞ্জাম দ্বারা সনাক্তকরণ এড়াতে দেয়।

ভূ-রাজনৈতিক প্রেক্ষাপট এবং বৈশিষ্ট্য চ্যালেঞ্জ

চীন-সংযুক্ত গোষ্ঠীগুলির দ্বারা ফিলিপাইনের সত্তাগুলিকে লক্ষ্যবস্তু করা নতুন নয় এবং সম্ভবত দক্ষিণ চীন সাগরে চীন, ভিয়েতনাম, ফিলিপাইন, তাইওয়ান, মালয়েশিয়া এবং ব্রুনাইয়ের সাথে জড়িত চলমান আঞ্চলিক বিরোধের দ্বারা প্রভাবিত।

যদিও এই নির্দিষ্ট অভিযানটি কোনও পরিচিত চীনা APT গোষ্ঠীর সাথে সম্পর্কিত নয়, তবে এর উদ্দেশ্য এবং স্বার্থ ঐতিহাসিকভাবে চীনা রাষ্ট্র-স্পন্সরিত অভিনেতাদের সাথে সম্পর্কিত বিষয়গুলির সাথে দৃঢ়ভাবে মিলে যায়। গবেষকরা 2024 সালের গোড়ার দিকে এই কার্যকলাপটি ট্র্যাক করা শুরু করেছিলেন কিন্তু এখনও এটিকে বিদ্যমান হুমকি গোষ্ঠীর সাথে চূড়ান্তভাবে যুক্ত করতে পারেননি।

একটি অবিরাম এবং এড়িয়ে যাওয়া হুমকি

EggStreme ম্যালওয়্যার পরিবার উচ্চ স্তরের পরিশীলিততা, অধ্যবসায় এবং অভিযোজনযোগ্যতা তুলে ধরে। ফাইললেস কৌশল, বহু-পর্যায়ের কার্যকরকরণ এবং অপ্রয়োজনীয় C2 অবকাঠামোর উপর এর নির্ভরতা আধুনিক প্রতিরক্ষামূলক ব্যবস্থা সম্পর্কে অপারেটরদের উন্নত জ্ঞানের উপর জোর দেয়। ডিফেন্ডারদের জন্য, এই প্রচারণাটি ক্রমবর্ধমান হুমকির দৃশ্যপট এবং সক্রিয় সনাক্তকরণ এবং প্রতিক্রিয়া কৌশলের গুরুত্বের কথা মনে করিয়ে দেয়।