Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Κακόβουλο λογισμικό EggStreme χωρίς αρχεία

Κακόβουλο λογισμικό EggStreme χωρίς αρχεία

Μέχρι το Mezo το Κακόβουλο λογισμικό, Προηγμένη επίμονη απειλή (APT)
Μετάφραση σε:

Μια στρατιωτική εταιρεία με έδρα τις Φιλιππίνες έπεσε θύμα μιας εξελιγμένης εκστρατείας κυβερνοκατασκοπείας που συνδέεται με μια ομάδα προηγμένων μόνιμων απειλών (APT) που πιστεύεται ότι προέρχεται από την Κίνα. Οι επιτιθέμενοι αξιοποίησαν ένα προηγουμένως άγνωστο πλαίσιο κακόβουλου λογισμικού χωρίς αρχεία που ονομάζεται EggStreme, το οποίο έχει σχεδιαστεί για να διατηρεί μακροπρόθεσμη, χαμηλού προφίλ πρόσβαση σε παραβιασμένα συστήματα.

Το πλαίσιο EggStreme: Πολυβάθμιο και χωρίς αρχεία

Το EggStreme δεν είναι ένα ενιαίο κακόβουλο λογισμικό, αλλά ένα στενά ενσωματωμένο πλαίσιο στοιχείων. Η αλυσίδα μόλυνσης ξεκινά με το EggStremeFuel (mscorsvc.dll), το οποίο δημιουργεί προφίλ στο σύστημα πριν αναπτύξει το EggStremeLoader για να δημιουργήσει persistence. Ακολουθεί το EggStremeReflectiveLoader, το οποίο ενεργοποιεί την κύρια backdoor, το EggStremeAgent.

Η εκτέλεση χωρίς αρχεία του framework διασφαλίζει ότι ο κακόβουλος κώδικας εκτελείται εξ ολοκλήρου στη μνήμη, αφήνοντας ελάχιστα ίχνη στον δίσκο. Επιπλέον, η χρήση παράπλευρης φόρτωσης DLL σε όλη την αλυσίδα επίθεσης περιπλέκει την ανίχνευση και την εγκληματολογία.

EggStremeAgent: Το Κεντρικό Νευρικό Σύστημα

Στον πυρήνα του πλαισίου βρίσκεται το EggStremeAgent, ένα πλήρως λειτουργικό backdoor που λειτουργεί ως ο κύριος κόμβος ελέγχου του εισβολέα. Επιτρέπει την αναγνώριση συστήματος, την κλιμάκωση δικαιωμάτων και την πλευρική κίνηση, ενώ παράλληλα αναπτύσσει το EggStremeKeylogger για την καταγραφή πληκτρολογήσεων σε όλες τις ενεργές συνεδρίες χρηστών.

Η κερκόπορτα επικοινωνεί με την υποδομή εντολών και ελέγχου (C2) μέσω του πρωτοκόλλου Google Remote Procedure Call (gRPC) και υποστηρίζει έναν εντυπωσιακό αριθμό 58 εντολών, που κυμαίνονται από την εξαγωγή δεδομένων και την εκτέλεση shellcode έως την έγχυση ωφέλιμου φορτίου.

Ένα βοηθητικό εμφύτευμα, το EggStremeWizard (xwizards.dll), παρέχει στους επιτιθέμενους δυνατότητες αντίστροφου κελύφους και μεταφοράς αρχείων. Ο σχεδιασμός του ενσωματώνει πολλαπλούς διακομιστές C2, εξασφαλίζοντας ανθεκτικότητα ακόμη και σε περίπτωση διακοπής της λειτουργίας ενός διακομιστή.

Δυνατότητες του EggStremeFuel

Η αρχική ενότητα, EggStremeFuel, έχει ως έργο την αναγνώριση και την αποκατάσταση επικοινωνίας με την υποδομή των επιτιθέμενων. Επιτρέπει στους χειριστές να:

  • Συγκεντρώστε πληροφορίες για τη μονάδα δίσκου συστήματος.
  • Ξεκινήστε το cmd.exe και διατηρήστε την επικοινωνία μέσω σωλήνων.
  • Μεταδώστε την εξωτερική διεύθυνση IP του μηχανήματος χρησιμοποιώντας το myexternallip.com/raw.
  • Διαβάστε τοπικά και απομακρυσμένα αρχεία, αποθηκεύοντας ή μεταδίδοντας το περιεχόμενό τους.
  • Αποθήκευση δεδομένων διαμόρφωσης από τη μνήμη στον δίσκο.
  • Διακόψτε τις συνδέσεις όταν απαιτείται.

Τακτικές, Τεχνικές και Εργαλεία

Οι απειλητικοί παράγοντες χρησιμοποιούν συστηματικά την παράπλευρη φόρτωση DLL, εκκινώντας νόμιμα δυαδικά αρχεία που φορτώνουν κακόβουλα DLL. Επίσης, ενσωματώνουν το βοηθητικό πρόγραμμα Stowaway proxy για να εξασφαλίσουν μια θέση σε εσωτερικά δίκτυα. Σε συνδυασμό με τη ροή εκτέλεσης χωρίς αρχεία του κακόβουλου λογισμικού, αυτές οι τεχνικές επιτρέπουν στη λειτουργία να ενσωματωθεί στην κανονική δραστηριότητα του συστήματος και να αποφύγει τον εντοπισμό από τα παραδοσιακά εργαλεία ασφαλείας.

Γεωπολιτικό Πλαίσιο και Προκλήσεις Απόδοσης

Η στοχοποίηση φιλιππινέζικων οντοτήτων από ομάδες που συνδέονται με την Κίνα δεν είναι κάτι καινούργιο και πιθανότατα επηρεάζεται από τις συνεχιζόμενες εδαφικές διαμάχες στη Νότια Σινική Θάλασσα στις οποίες εμπλέκονται η Κίνα, το Βιετνάμ, οι Φιλιππίνες, η Ταϊβάν, η Μαλαισία και το Μπρουνέι.

Παρόλο που αυτή η συγκεκριμένη εκστρατεία δεν έχει αποδοθεί σε καμία γνωστή κινεζική ομάδα APT, οι στόχοι και τα συμφέροντα ευθυγραμμίζονται έντονα με εκείνα που συνδέονται ιστορικά με κινέζικους κρατικούς φορείς. Οι ερευνητές άρχισαν να παρακολουθούν τη δραστηριότητα στις αρχές του 2024, αλλά δεν έχουν ακόμη συνδέσει οριστικά με κάποια υπάρχουσα ομάδα απειλών.

Μια επίμονη και αόριστη απειλή

Η οικογένεια κακόβουλου λογισμικού EggStreme αναδεικνύει ένα υψηλό επίπεδο πολυπλοκότητας, επιμονής και προσαρμοστικότητας. Η εξάρτησή της από τεχνικές χωρίς αρχεία, εκτέλεση πολλαπλών σταδίων και πλεονάζουσα υποδομή C2 υπογραμμίζει την προηγμένη γνώση των χειριστών σχετικά με τα σύγχρονα αμυντικά μέτρα. Για τους υπερασπιστές, αυτή η καμπάνια χρησιμεύει ως υπενθύμιση του εξελισσόμενου τοπίου απειλών και της σημασίας των προληπτικών στρατηγικών ανίχνευσης και αντιμετώπισης.

Τάσεις

Miaiw Qoaks από Suproa Tm Asjs

Πιθανώς ανεπιθύμητα προγράμματα, Adware, Browser Hijackers
Η προστασία της συσκευής σας από παρεμβατικές εφαρμογές είναι ζωτικής σημασίας για τη διασφάλιση τόσο της ασφάλειας όσο και της απόδοσης. Μεταξύ των πολλών Δυνητικά Ανεπιθύμητων Προγραμμάτων (PUP)...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,407
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...