EggStreme filløs malware

Et filippinsk militærfirma er blevet offer for en sofistikeret cyberspionagekampagne knyttet til en avanceret APT-gruppe (persistent threat), der menes at stamme fra Kina. Angriberne udnyttede et hidtil ukendt filløst malware-framework kaldet EggStreme, der er designet til at opretholde langvarig, diskret adgang til kompromitterede systemer.

EggStreme-rammeværket: Flertrins og filløst

EggStreme er ikke en enkeltstående malware, men et tæt integreret rammeværk af komponenter. Dens infektionskæde begynder med EggStremeFuel (mscorsvc.dll), som profilerer systemet, før EggStremeLoader implementeres for at etablere persistens. Dette efterfølges af EggStremeReflectiveLoader, som udløser den primære bagdør, EggStremeAgent.

Frameworkets filløse udførelse sikrer, at skadelig kode kører udelukkende i hukommelsen og efterlader minimale spor på disken. Derudover komplicerer brugen af DLL-sideloading i hele angrebskæden detektion og retsmedicin.

EggStremeAgent: Centralnervesystemet

Kernen i frameworket ligger EggStremeAgent, en fuldt funktionel bagdør, der fungerer som angriberens primære kontrolcenter. Den muliggør systemrekognoscering, privilegieeskalering og lateral bevægelse, samtidig med at den implementerer EggStremeKeylogger til at registrere tastetryk på tværs af aktive brugersessioner.

Bagdøren kommunikerer med sin kommando-og-kontrol (C2) infrastruktur via Google Remote Procedure Call (gRPC) protokollen og understøtter hele 58 kommandoer, lige fra dataudfiltrering og shellcode-udførelse til payload-injektion.

Et hjælpeimplantat, EggStremeWizard (xwizards.dll), giver angribere en reverse shell og filoverførselsfunktioner. Dets design inkorporerer flere C2-servere, hvilket sikrer robusthed, selv hvis én server afbrydes.

EggStremeFuels muligheder

Det indledende modul, EggStremeFuel, har til opgave at rekognoscere og etablere kommunikation med angribernes infrastruktur. Det giver operatørerne mulighed for at:

• Indsaml oplysninger om systemdrevet.
• Start cmd.exe og oprethold kommunikationen via pipes.
• Overfør maskinens eksterne IP-adresse ved hjælp af myexternalip.com/raw.
• Læs lokale og eksterne filer, og gem eller transmitter deres indhold.
• Dump konfigurationsdata i hukommelsen til disk.
• Afbryd forbindelser, når det er nødvendigt.

Taktikker, teknikker og værktøjer

Trusselaktørerne anvender konsekvent DLL-sideloading ved at starte legitime binære filer, der indlæser ondsindede DLL'er. De integrerer også Stowaway-proxyværktøjet for at sikre fodfæste i interne netværk. Kombineret med malwarens filløse udførelsesflow tillader disse teknikker, at handlingen integreres i normal systemaktivitet og undgår at blive opdaget af traditionelle sikkerhedsværktøjer.

Geopolitisk kontekst og udfordringer med attribution

Det er ikke nyt, at kinesisk-tilknyttede grupper målretter filippinske enheder og er sandsynligvis påvirket af igangværende territoriale tvister i det Sydkinesiske Hav, der involverer Kina, Vietnam, Filippinerne, Taiwan, Malaysia og Brunei.

Selvom denne specifikke kampagne ikke er blevet tilskrevet nogen kendt kinesisk APT-gruppe, stemmer målene og interesserne stærkt overens med dem, der historisk set er forbundet med kinesiske statsstøttede aktører. Forskere begyndte at spore aktiviteten i begyndelsen af 2024, men har endnu ikke endeligt knyttet den til en eksisterende trusselsgruppe.

En vedvarende og undvigende trussel

EggStreme-malwarefamilien fremhæver et højt niveau af sofistikering, vedholdenhed og tilpasningsevne. Dens afhængighed af filløse teknikker, flertrinsudførelse og redundant C2-infrastruktur understreger operatørernes avancerede viden om moderne forsvarsforanstaltninger. For forsvarere tjener denne kampagne som en påmindelse om det udviklende trusselslandskab og vigtigheden af proaktive detektions- og reaktionsstrategier.