הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית ללא קבצים של EggStreme

תוכנה זדונית ללא קבצים של EggStreme

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:

חברה צבאית שבסיסה בפיליפינים נפלה קורבן לקמפיין ריגול סייבר מתוחכם הקשור לקבוצת איום מתמשך מתקדם (APT) שמקורו ככל הנראה בסין. התוקפים ניצלו מסגרת תוכנה זדונית נטולת קבצים, שלא הייתה מוכרת קודם לכן, בשם EggStreme, שנועדה לשמור על גישה ארוכת טווח ובפרופיל נמוך למערכות שנפגעו.

מסגרת EggStreme: רב-שלבית וללא קבצים

EggStreme אינו יחידה אחת של תוכנה זדונית, אלא מסגרת משולבת היטב של רכיבים. שרשרת ההדבקה שלה מתחילה ב-EggStremeFuel (mscorsvc.dll), אשר יוצר פרופיל של המערכת לפני פריסת EggStremeLoader כדי לבסס עמידות. לאחר מכן מגיע EggStremeReflectiveLoader, אשר מפעיל את הדלת האחורית הראשית, EggStremeAgent.

הביצוע ללא קבצים של המסגרת מבטיח שקוד זדוני ירוץ כולו בזיכרון, ומשאיר עקבות מינימליים בדיסק. בנוסף, השימוש בטעינת DLL בצד הדרך לאורך שרשרת ההתקפה מסבך את הזיהוי והזיהוי הפלילי.

EggStremeAgent: מערכת העצבים המרכזית

בליבת המערכת נמצא EggStremeAgent, דלת אחורית מתפקדת במלואה הפועלת כמרכז הבקרה העיקרי של התוקף. היא מאפשרת סיור מערכתי, הסלמת הרשאות ותנועה רוחבית, ובמקביל פריסת EggStremeKeylogger כדי ללכוד הקשות מקלדת לאורך סשנים פעילות של משתמשים.

הדלת האחורית מתקשרת עם תשתית הפיקוד והבקרה (C2) שלה דרך פרוטוקול Google Remote Procedure Call (gRPC) ותומכת במספר מדהים של 58 פקודות, החל מסינון נתונים וביצוע קוד מעטפת ועד להזרקת מטען.

שתל עזר אחד, EggStremeWizard (xwizards.dll), מספק לתוקפים מעטפת הפוכה ויכולות העברת קבצים. העיצוב שלו משלב מספר שרתי C2, מה שמבטיח חוסן גם אם שרת אחד מופרע.

יכולות של EggStremeFuel

המודול הראשוני, EggStremeFuel, אחראי על סיור ויצירת תקשורת עם התשתית של התוקפים. הוא מאפשר למפעילים:

  • איסוף מידע על כונן המערכת.
  • הפעל את cmd.exe ושמור על תקשורת דרך צינורות.
  • העבר את כתובת ה-IP החיצונית של המכונה באמצעות myexternalip.com/raw.
  • קרא קבצים מקומיים ומרוחקים, שמור או העבר את תוכנם.
  • שמור נתוני תצורה בזיכרון לדיסק.
  • ניתוק חיבורים בעת הצורך.

טקטיקות, טכניקות וכלים

גורמי האיום משתמשים באופן עקבי בהפעלת קבצי DLL צדדיים על ידי הפעלת קבצי בינארי לגיטימיים שטוענים קבצי DLL זדוניים. הם גם משלבים את כלי הפרוקסי Stowaway כדי להבטיח דריסת רגל ברשתות פנימיות. בשילוב עם זרימת הביצוע ללא קבצים של התוכנה הזדונית, טכניקות אלו מאפשרות לפעולה להשתלב בפעילות המערכת הרגילה ולהימנע מגילוי על ידי כלי אבטחה מסורתיים.

ההקשר הגיאופוליטי ואתגרי ייחוס

כוונת התקפות נגד ישויות פיליפיניות על ידי קבוצות המקושרות לסין אינה חדשה, וסביר להניח שהיא מושפעת מסכסוכים טריטוריאליים מתמשכים בים סין הדרומי, הכוללים את סין, וייטנאם, הפיליפינים, טייוואן, מלזיה וברוניי.

למרות שקמפיין ספציפי זה לא יוחס לאף קבוצת APT סינית ידועה, המטרות והאינטרסים תואמים מאוד לאלו המקושרים היסטורית לגורמים בחסות המדינה הסינית. חוקרים החלו לעקוב אחר הפעילות בתחילת 2024 אך טרם קישרו אותה באופן חד משמעי לקבוצת איום קיימת.

איום מתמשך וחמקמק

משפחת הנוזקות EggStreme מדגישה רמה גבוהה של תחכום, עמידות ויכולת הסתגלות. הסתמכותה על טכניקות ללא קבצים, ביצוע רב-שלבי ותשתית C2 יתירה מדגישה את הידע המתקדם של המפעילים באמצעי הגנה מודרניים. עבור מגיני ההגנה, קמפיין זה משמש תזכורת לנוף האיומים המתפתח ולחשיבותן של אסטרטגיות גילוי ותגובה פרואקטיביות.

מגמות

Miaw Qoaks מאת Suproa Tm Asjs

תוכניות שעלולות להיות לא רצויות, תוכנות פרסום, חוטפי דפדפן
הגנה על המכשיר שלך מפני יישומים פולשניים חיונית להבטחת אבטחה וביצועים כאחד. מבין התוכניות הפוטנציאליות הלא רצויות (PUP) הרבות שנותחו על ידי מומחי אבטחת סייבר, דוגמה מדאיגה במיוחד היא Miaiw Qoaks...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
35,407
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...