Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós sense fitxers d'EggStreme

Programari maliciós sense fitxers d'EggStreme

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Una empresa militar amb seu a les Filipines ha estat víctima d'una sofisticada campanya de ciberespionatge vinculada a un grup d'amenaces persistents avançades (APT) que es creu que prové de la Xina. Els atacants van aprofitar un marc de programari maliciós sense fitxers prèviament desconegut anomenat EggStreme, dissenyat per mantenir l'accés a llarg termini i de baix perfil a sistemes compromesos.

El marc de treball EggStreme: multietapa i sense fitxers

EggStreme no és un sol programari maliciós, sinó un marc de components estretament integrat. La seva cadena d'infecció comença amb EggStremeFuel (mscorsvc.dll), que crea un perfil del sistema abans de desplegar EggStremeLoader per establir la persistència. A continuació, ve EggStremeReflectiveLoader, que activa la porta del darrere principal, EggStremeAgent.

L'execució sense fitxers del marc de treball garanteix que el codi maliciós s'executi completament a la memòria, deixant un mínim de rastres al disc. A més, l'ús de la càrrega lateral de DLL al llarg de la cadena d'atac complica la detecció i la forense.

EggStremeAgent: El sistema nerviós central

Al nucli del marc de treball hi ha EggStremeAgent, una porta del darrere completament funcional que funciona com a centre de control principal de l'atacant. Permet el reconeixement del sistema, l'escalada de privilegis i el moviment lateral, alhora que implementa EggStremeKeylogger per capturar les pulsacions de tecles durant les sessions d'usuari actives.

La porta del darrere es comunica amb la seva infraestructura de comandament i control (C2) a través del protocol Google Remote Procedure Call (gRPC) i admet la impressionant xifra de 58 comandes, que van des de l'exfiltració de dades i l'execució de shellcode fins a la injecció de càrrega útil.

Un implant auxiliar, EggStremeWizard (xwizards.dll), proporciona als atacants una shell inversa i capacitats de transferència de fitxers. El seu disseny incorpora diversos servidors C2, garantint la resistència fins i tot si un servidor s'interromp.

Capacitats d’EggStremeFuel

El mòdul inicial, EggStremeFuel, s'encarrega de fer reconeixement i establir comunicació amb la infraestructura dels atacants. Permet als operadors:

  • Recopila informació de la unitat del sistema.
  • Inicieu cmd.exe i manteniu la comunicació a través de les canonades.
  • Transmeteu l'adreça IP externa de la màquina mitjançant myexternalip.com/raw.
  • Llegir fitxers locals i remots, desant o transmetent el seu contingut.
  • Aboca les dades de configuració en memòria al disc.
  • Tanqueu les connexions quan calgui.

Tàctiques, tècniques i eines

Els actors amenaçadors utilitzen constantment la càrrega lateral de DLL llançant binaris legítims que carreguen DLL malicioses. També integren la utilitat de proxy Stowaway per assegurar-se un punt de suport dins de les xarxes internes. Combinades amb el flux d'execució sense fitxers del programari maliciós, aquestes tècniques permeten que l'operació es fongui amb l'activitat normal del sistema i eviti la detecció de les eines de seguretat tradicionals.

Context geopolític i reptes d’atribució

Els atacs contra entitats filipines per part de grups vinculats a la Xina no són nous i probablement estan influenciats per les disputes territorials en curs al Mar de la Xina Meridional que impliquen la Xina, Vietnam, les Filipines, Taiwan, Malàisia i Brunei.

Tot i que aquesta campanya específica no s'ha atribuït a cap grup APT xinès conegut, els objectius i interessos s'alineen fortament amb els que històricament s'han associat amb actors patrocinats per l'estat xinès. Els investigadors van començar a rastrejar l'activitat a principis del 2024, però encara no l'han vinculat de manera concloent a cap grup d'amenaces existent.

Una amenaça persistent i evasiva

La família de programari maliciós EggStreme destaca un alt nivell de sofisticació, persistència i adaptabilitat. La seva confiança en tècniques sense fitxers, execució multietapa i infraestructura C2 redundant subratlla el coneixement avançat dels operadors sobre les mesures defensives modernes. Per als defensors, aquesta campanya serveix com a recordatori de l'evolució del panorama d'amenaces i la importància de les estratègies proactives de detecció i resposta.

Tendència

Més vist

Carregant...