EggStreme-tiedostoton haittaohjelma
Filippiineillä toimiva sotilasalan yritys on joutunut hienostuneen kybervakoilukampanjan uhriksi. Kampanjan yhteydessä on Kiinasta kotoisin oleva edistyneiden jatkuvien uhkien (APT) ryhmä. Hyökkääjät hyödynsivät aiemmin tuntematonta tiedostotonta haittaohjelmajärjestelmää nimeltä EggStreme, joka on suunniteltu ylläpitämään pitkäaikaista ja huomaamatonta pääsyä vaarantuneisiin järjestelmiin.
Sisällysluettelo
EggStreme-kehys: Monivaiheinen ja tiedostoton
EggStreme ei ole yksittäinen haittaohjelma, vaan tiiviisti integroitu komponenttien kehys. Sen tartuntaketju alkaa EggStremeFuel-haittaohjelmalla (mscorsvc.dll), joka profiloi järjestelmän ennen EggStremeLoaderin käyttöönottoa pysyvyyden varmistamiseksi. Tätä seuraa EggStremeReflectiveLoader, joka laukaisee pääasiallisen takaoven, EggStremeAgentin.
Kehyksen tiedostoton suoritus varmistaa, että haitallinen koodi suoritetaan kokonaan muistissa, jolloin levylle jää mahdollisimman vähän jälkiä. Lisäksi DLL-sivulatauksen käyttö koko hyökkäysketjussa vaikeuttaa havaitsemista ja rikostutkintaa.
EggStremeAgent: Keskushermosto
Kehyksen ytimessä on EggStremeAgent, täysin toimiva takaovi, joka toimii hyökkääjän ensisijaisena hallintakeskuksena. Se mahdollistaa järjestelmän tiedustelun, käyttöoikeuksien eskaloinnin ja sivuttaisliikkeen samalla kun se käyttää EggStremeKeyloggeria näppäinpainallusten tallentamiseen aktiivisten käyttäjäistuntojen aikana.
Takaovi kommunikoi komento- ja ohjausinfrastruktuurinsa (C2) kanssa Google Remote Procedure Call (gRPC) -protokollan kautta ja tukee peräti 58 komentoa, jotka vaihtelevat datan vuotamisesta ja komentotulkkikoodin suorittamisesta hyötykuorman injektointiin.
Yksi apuohjelma, EggStremeWizard (xwizards.dll), tarjoaa hyökkääjille käänteisen kuoren ja tiedostonsiirto-ominaisuudet. Sen suunnittelussa on mukana useita C2-palvelimia, mikä varmistaa sietokyvyn, vaikka yhden palvelimen toiminta keskeytettäisiin.
EggStremeFuelin ominaisuudet
Ensimmäinen moduuli, EggStremeFuel, on tarkoitettu tiedusteluun ja viestinnän muodostamiseen hyökkääjien infrastruktuurin kanssa. Sen avulla operaattorit voivat:
- Kerää järjestelmälevyn tiedot.
- Käynnistä cmd.exe ja ylläpidä kommunikaatiota putkien kautta.
- Lähetä laitteen ulkoinen IP-osoite osoitteella myexternalip.com/raw.
- Lue paikallisia ja etätiedostoja, tallenna tai lähetä niiden sisältöä.
- Kopioi muistissa olevat määritystiedot levylle.
- Katkaise yhteydet tarvittaessa.
Taktiikat, tekniikat ja työkalut
Uhkatoimijat käyttävät jatkuvasti DLL-tiedostojen sivulatausta käynnistämällä laillisia binääritiedostoja, jotka lataavat haitallisia DLL-tiedostoja. He integroivat myös Stowaway-välityspalvelimen varmistaakseen jalansijan sisäisissä verkoissa. Yhdessä haittaohjelman tiedostottoman suoritusprosessin kanssa nämä tekniikat mahdollistavat toiminnan sulautumisen normaaliin järjestelmän toimintaan ja välttävät perinteisten tietoturvatyökalujen havaitsemisen.
Geopoliittinen konteksti ja attribuutiohaasteet
Kiinalaiskytköksissä olevien ryhmien Filippiinien yhteisöihin kohdistamat iskut eivät ole uusia, ja niihin todennäköisesti vaikuttavat Etelä-Kiinan merellä meneillään olevat aluekiistat, joihin osallistuvat Kiina, Vietnam, Filippiinit, Taiwan, Malesia ja Brunei.
Vaikka tätä tiettyä kampanjaa ei ole yhdistetty mihinkään tunnettuun kiinalaiseen APT-ryhmään, sen tavoitteet ja intressit vastaavat vahvasti Kiinan valtion tukemien toimijoiden historiallisia tavoitteita ja intressejä. Tutkijat alkoivat seurata toimintaa vuoden 2024 alussa, mutta eivät ole vielä yhdistäneet sitä lopullisesti olemassa olevaan uhkaryhmään.
Jatkuva ja välttelevä uhka
EggStreme-haittaohjelmaperhe korostaa korkeaa hienostuneisuutta, pysyvyyttä ja sopeutumiskykyä. Sen luottaminen tiedostottomiin tekniikoihin, monivaiheiseen suoritukseen ja redundanttiseen C2-infrastruktuuriin korostaa operaattoreiden edistynyttä tietämystä nykyaikaisista puolustusmenetelmistä. Puolustajille tämä kampanja muistuttaa kehittyvästä uhkakuvasta ja ennakoivien havaitsemis- ja reagointistrategioiden tärkeydestä.
