Bezsouborový malware EggStreme
Filipínská vojenská společnost se stala obětí sofistikované kybernetické špionážní kampaně spojené se skupinou pokročilých perzistentních hrozeb (APT), o níž se předpokládá, že pochází z Číny. Útočníci využili dříve neznámý framework malwaru bez souborů s názvem EggStreme, který je navržen tak, aby udržoval dlouhodobý a nenápadný přístup k napadeným systémům.
Obsah
Framework EggStreme: Vícestupňový a bezsouborový
EggStreme není samostatný malware, ale úzce integrovaný rámec komponent. Jeho infekční řetězec začíná EggStremeFuel (mscorsvc.dll), který profiluje systém před nasazením EggStremeLoaderu za účelem zajištění perzistence. Následuje EggStremeReflectiveLoader, který spouští hlavní zadní vrátka, EggStremeAgent.
Bezsouborové spouštění frameworku zajišťuje, že škodlivý kód běží výhradně v paměti a zanechává minimální stopy na disku. Navíc použití sideloadingu DLL v celém řetězci útoku komplikuje detekci a forenzní analýzu.
EggStremeAgent: Centrální nervový systém
Jádrem frameworku je EggStremeAgent, plně funkční backdoor, který slouží jako primární kontrolní centrum útočníka. Umožňuje průzkum systému, eskalaci oprávnění a laterální pohyb a zároveň nasazování EggStremeKeyloggeru k zachycení stisků kláves v rámci aktivních uživatelských relací.
Backdoor komunikuje se svou infrastrukturou velení a řízení (C2) prostřednictvím protokolu Google Remote Procedure Call (gRPC) a podporuje ohromujících 58 příkazů, od exfiltrace dat a provádění shellcode až po vkládání dat do systému.
Jeden pomocný implantát, EggStremeWizard (xwizards.dll), poskytuje útočníkům možnosti reverzního shellu a přenosu souborů. Jeho konstrukce zahrnuje více serverů C2, což zajišťuje odolnost i v případě narušení provozu jednoho serveru.
Možnosti EggStremeFuel
Počáteční modul, EggStremeFuel, má za úkol průzkum a navazování komunikace s infrastrukturou útočníků. Umožňuje operátorům:
- Shromážděte informace o systémových jednotkách.
- Spusťte cmd.exe a udržujte komunikaci přes kanály.
- Přeneste externí IP adresu počítače pomocí adresy myexternalip.com/raw.
- Čtení lokálních i vzdálených souborů, ukládání nebo přenos jejich obsahu.
- Vypsat konfigurační data z paměti na disk.
- V případě potřeby ukončete připojení.
Taktiky, techniky a nástroje
Útočníci důsledně využívají tzv. „sideloading“ DLL, kdy spouštějí legitimní binární soubory, které načítají škodlivé DLL. Integrují také proxy utilitu Stowaway, aby si zajistili přístup v interních sítích. V kombinaci s bezsouborovým způsobem provádění malwaru tyto techniky umožňují, aby se operace splynula s běžnou aktivitou systému a vyhnula se detekci tradičními bezpečnostními nástroji.
Geopolitický kontext a výzvy v oblasti atribuce
Útoky na filipínské subjekty ze strany skupin napojených na Čínu nejsou ničím novým a pravděpodobně jsou ovlivněny probíhajícími územními spory v Jihočínském moři, do kterých patří Čína, Vietnam, Filipíny, Tchaj-wan, Malajsie a Brunej.
Ačkoli tato konkrétní kampaň nebyla přičítána žádné známé čínské skupině APT, její cíle a zájmy se silně shodují s těmi, které byly historicky spojovány s čínskými státem sponzorovanými aktéry. Výzkumníci začali sledovat tuto aktivitu počátkem roku 2024, ale dosud ji přesvědčivě nepropojili s existující hrozbou.
Trvalá a vyhýbavá hrozba
Rodina malwaru EggStreme se vyznačuje vysokou úrovní sofistikovanosti, perzistence a přizpůsobivosti. Její spoléhání se na bezsouborové techniky, vícestupňové provádění a redundantní infrastrukturu C2 podtrhuje pokročilé znalosti operátorů o moderních obranných opatřeních. Pro obránce tato kampaň slouží jako připomínka vyvíjející se situace s hrozbami a důležitosti proaktivních strategií detekce a reakce.
