بدافزار بدون فایل EggStreme

یک شرکت نظامی مستقر در فیلیپین قربانی یک کمپین جاسوسی سایبری پیچیده مرتبط با یک گروه تهدید پیشرفته مداوم (APT) شده است که گمان می‌رود از چین سرچشمه گرفته باشد. مهاجمان از یک چارچوب بدافزار بدون فایل ناشناخته به نام EggStreme استفاده کردند که برای حفظ دسترسی طولانی مدت و کم اهمیت به سیستم‌های آسیب دیده طراحی شده است.

چارچوب EggStreme: چند مرحله‌ای و بدون فایل

EggStreme یک بدافزار واحد نیست، بلکه یک چارچوب کاملاً یکپارچه از اجزا است. زنجیره آلودگی آن با EggStremeFuel (mscorsvc.dll) آغاز می‌شود که قبل از استقرار EggStremeLoader برای ایجاد پایداری، سیستم را پروفایل می‌کند. پس از آن EggStremeReflectiveLoader قرار دارد که درب پشتی اصلی، EggStremeAgent، را فعال می‌کند.

اجرای بدون فایل این چارچوب تضمین می‌کند که کد مخرب کاملاً در حافظه اجرا می‌شود و حداقل ردپا را روی دیسک باقی می‌گذارد. علاوه بر این، استفاده از بارگذاری جانبی DLL در سراسر زنجیره حمله، تشخیص و جرم‌شناسی را پیچیده می‌کند.

EggStremeAgent: سیستم عصبی مرکزی

در هسته این چارچوب، EggStremeAgent قرار دارد، یک درِ پشتی کاملاً کاربردی که به عنوان مرکز کنترل اصلی مهاجم عمل می‌کند. این درِ پشتی امکان شناسایی سیستم، افزایش امتیاز و حرکت جانبی را فراهم می‌کند و در عین حال EggStremeKeylogger را نیز برای ثبت کلیدهای فشرده شده در جلسات فعال کاربر به کار می‌گیرد.

این درِ پشتی از طریق پروتکل Google Remote Procedure Call (gRPC) با زیرساخت فرمان و کنترل (C2) خود ارتباط برقرار می‌کند و از ۵۸ دستور شگفت‌انگیز، از استخراج داده‌ها و اجرای shellcode گرفته تا تزریق بار داده، پشتیبانی می‌کند.

یک ایمپلنت کمکی، EggStremeWizard (xwizards.dll)، قابلیت‌های انتقال فایل و پوسته معکوس را در اختیار مهاجمان قرار می‌دهد. طراحی آن شامل چندین سرور C2 است که حتی در صورت اختلال در یکی از سرورها، پایداری را تضمین می‌کند.

قابلیت‌های EggStremeFuel

ماژول اولیه، EggStremeFuel، وظیفه شناسایی و برقراری ارتباط با زیرساخت مهاجمان را بر عهده دارد. این ماژول به اپراتورها اجازه می‌دهد تا:

• اطلاعات درایو سیستم را جمع‌آوری کنید.
• cmd.exe را اجرا کنید و ارتباط را از طریق pipeها برقرار کنید.
• آدرس IP خارجی دستگاه را با استفاده از myexternalip.com/raw ارسال کنید.
• خواندن فایل‌های محلی و راه دور، ذخیره یا انتقال محتوای آنها.
• داده‌های پیکربندی موجود در حافظه را روی دیسک تخلیه کنید.
• در صورت لزوم، اتصالات را قطع کنید.

تاکتیک‌ها، تکنیک‌ها و ابزارها

عاملان تهدید به‌طور مداوم از بارگذاری جانبی DLL با راه‌اندازی فایل‌های باینری قانونی که DLLهای مخرب را بارگذاری می‌کنند، استفاده می‌کنند. آن‌ها همچنین از ابزار پروکسی Stowaway برای ایجاد جای پایی در شبکه‌های داخلی استفاده می‌کنند. این تکنیک‌ها در ترکیب با جریان اجرای بدون فایل بدافزار، به عملیات اجازه می‌دهند تا با فعالیت عادی سیستم ترکیب شده و از شناسایی توسط ابزارهای امنیتی سنتی جلوگیری کنند.

زمینه ژئوپلیتیکی و چالش‌های انتساب

هدف قرار دادن نهادهای فیلیپینی توسط گروه‌های مرتبط با چین چیز جدیدی نیست و احتمالاً تحت تأثیر اختلافات ارضی جاری در دریای چین جنوبی بین چین، ویتنام، فیلیپین، تایوان، مالزی و برونئی قرار دارد.

اگرچه این کمپین خاص به هیچ گروه APT چینی شناخته‌شده‌ای نسبت داده نشده است، اما اهداف و منافع آن به شدت با اهداف و منافع بازیگران تحت حمایت دولت چین که از نظر تاریخی با آنها مرتبط بوده‌اند، همسو است. محققان ردیابی این فعالیت را از اوایل سال ۲۰۲۴ آغاز کردند، اما هنوز نتوانسته‌اند آن را به طور قطعی به یک گروه تهدید موجود مرتبط کنند.

یک تهدید مداوم و گریزان

خانواده بدافزار EggStreme سطح بالایی از پیچیدگی، پایداری و سازگاری را برجسته می‌کند. اتکای آن به تکنیک‌های بدون فایل، اجرای چند مرحله‌ای و زیرساخت‌های اضافی C2، دانش پیشرفته اپراتورها از اقدامات دفاعی مدرن را برجسته می‌کند. برای مدافعان، این کمپین به عنوان یادآوری چشم‌انداز تهدید در حال تحول و اهمیت استراتژی‌های تشخیص و پاسخ پیشگیرانه عمل می‌کند.