EggStreme'i failideta pahavara
Filipiinidel asuv sõjaväeettevõte on langenud keeruka küberspionaažikampaania ohvriks, mis on seotud arvatavasti Hiinast pärit edasijõudnud püsiva ohu (APT) rühmitusega. Ründajad kasutasid seni tundmatut failideta pahavara raamistikku nimega EggStreme, mis on loodud pikaajalise ja varjatud juurdepääsu säilitamiseks ohustatud süsteemidele.
Sisukord
EggStreme’i raamistik: mitmeastmeline ja failideta
EggStreme ei ole üksik pahavara, vaid tihedalt integreeritud komponentide raamistik. Selle nakkusahel algab EggStremeFueliga (mscorsvc.dll), mis profiilib süsteemi enne EggStremeLoaderi juurutamist püsivuse tagamiseks. Sellele järgneb EggStremeReflectiveLoader, mis käivitab peamise tagaukse EggStremeAgenti.
Raamistiku failideta käivitamine tagab, et pahatahtlik kood töötab täielikult mälus, jättes kettale minimaalselt jälgi. Lisaks raskendab DLL-i külglaadimise kasutamine kogu rünnakuahelas tuvastamist ja kohtuekspertiisi.
EggStremeAgent: Kesknärvisüsteem
Raamistiku keskmes on EggStremeAgent, täisfunktsionaalne tagauks, mis toimib ründaja peamise juhtimiskeskusena. See võimaldab süsteemi luuret, privileegide eskaleerimist ja külgmist liikumist ning juurutab samal ajal EggStremeKeylogerit, et jäädvustada klahvivajutusi aktiivsete kasutajaseansside ajal.
Tagauks suhtleb oma juhtimis- ja juhtimisinfrastruktuuriga (C2) Google Remote Procedure Call (gRPC) protokolli kaudu ja toetab hämmastavat 58 käsku, alates andmete väljaviimisest ja shellkoodi käivitamisest kuni kasuliku koormuse süstimiseni.
Üks abisüsteem, EggStremeWizard (xwizards.dll), pakub ründajatele pöördkesta ja failiedastusvõimalusi. Selle disain hõlmab mitut C2-serverit, tagades vastupidavuse isegi ühe serveri katkemise korral.
EggStremeFueli võimalused
Esialgne moodul EggStremeFuel on loodud luure ja ründajate infrastruktuuriga ühenduse loomise ülesandeks. See võimaldab operaatoritel:
- Koguge süsteemi draivi teavet.
- Käivitage cmd.exe ja hoidke side torude kaudu.
- Edastage masina väline IP-aadress saidi myexternalip.com/raw abil.
- Loe kohalikke ja kaugfaile, salvesta või edasta nende sisu.
- Kopeeri mälus olevad konfiguratsiooniandmed kettale.
- Vajadusel sulgege ühendused.
Taktikad, tehnikad ja tööriistad
Ohutegelased kasutavad pidevalt DLL-ide külglaadimist, käivitades legitiimseid binaarfaile, mis laadivad pahatahtlikke DLL-e. Samuti integreerivad nad Stowaway puhverserveri utiliidi, et kindlustada endale jalgealune sisevõrkudes. Koos pahavara failideta täitmisvooga võimaldavad need tehnikad operatsioonil sulanduda tavapärasesse süsteemitegevusse ja vältida avastamist traditsiooniliste turvatööriistade abil.
Geopoliitiline kontekst ja omistamisega seotud väljakutsed
Hiinaga seotud rühmituste Filipiinide üksuste sihtimine ei ole uus ja seda mõjutavad tõenäoliselt Lõuna-Hiina meres käimasolevad territoriaalsed vaidlused, millesse on kaasatud Hiina, Vietnam, Filipiinid, Taiwan, Malaisia ja Brunei.
Kuigi seda konkreetset kampaaniat ei ole seostatud ühegi teadaoleva Hiina APT-rühmitusega, on selle eesmärgid ja huvid tugevalt kooskõlas Hiina riigi toetatud rühmitustega ajalooliselt seostatud eesmärkide ja huvidega. Teadlased hakkasid tegevust jälgima 2024. aasta alguses, kuid pole seda veel lõplikult olemasoleva ohurühmitusega seostanud.
Püsiv ja vältimatu oht
EggStreme'i pahavara perekonda iseloomustab kõrge keerukus, püsivus ja kohanemisvõime. Selle tuginemine failideta tehnikatele, mitmeastmelisele teostusele ja koondatud C2-infrastruktuurile rõhutab operaatorite edasijõudnud teadmisi kaasaegsetest kaitsemeetmetest. Kaitsjate jaoks on see kampaania meeldetuletus pidevalt muutuvast ohumaastikust ning ennetavate avastamis- ja reageerimisstrateegiate olulisusest.
