EggStreme Fileless Malware

फिलीपींस स्थित एक सैन्य कंपनी एक उन्नत लगातार खतरा (APT) समूह से जुड़े एक परिष्कृत साइबर जासूसी अभियान का शिकार हो गई है, जिसके चीन से होने की आशंका है। हमलावरों ने पहले से अज्ञात एगस्ट्रीम नामक एक फ़ाइल-रहित मैलवेयर फ्रेमवर्क का इस्तेमाल किया, जिसे प्रभावित सिस्टम तक दीर्घकालिक, कम-प्रोफ़ाइल पहुँच बनाए रखने के लिए डिज़ाइन किया गया था।

एगस्ट्रीम फ्रेमवर्क: मल्टी-स्टेज और फाइललेस

EggStreme मैलवेयर का एक टुकड़ा नहीं, बल्कि घटकों का एक सघन रूप से एकीकृत ढाँचा है। इसकी संक्रमण श्रृंखला EggStremeFuel (mscorsvc.dll) से शुरू होती है, जो दृढ़ता स्थापित करने के लिए EggStremeLoader को तैनात करने से पहले सिस्टम की प्रोफ़ाइल बनाता है। इसके बाद EggStremeReflectiveLoader आता है, जो मुख्य बैकडोर, EggStremeAgent को सक्रिय करता है।

फ्रेमवर्क का फ़ाइल-रहित निष्पादन यह सुनिश्चित करता है कि दुर्भावनापूर्ण कोड पूरी तरह से मेमोरी में चले, और डिस्क पर न्यूनतम निशान छोड़े। इसके अलावा, हमले की पूरी श्रृंखला में DLL साइडलोडिंग का उपयोग पता लगाने और फोरेंसिक जाँच को जटिल बना देता है।

एगस्ट्रीमएजेंट: केंद्रीय तंत्रिका तंत्र

इस फ्रेमवर्क के मूल में EggStremeAgent है, जो एक पूर्णतः कार्यात्मक बैकडोर है जो हमलावर के प्राथमिक नियंत्रण केंद्र के रूप में कार्य करता है। यह सिस्टम की जाँच, विशेषाधिकार वृद्धि और पार्श्व गति को सक्षम बनाता है, साथ ही सक्रिय उपयोगकर्ता सत्रों में कीस्ट्रोक्स को कैप्चर करने के लिए EggStremeKeylogger को भी तैनात करता है।

बैकडोर गूगल रिमोट प्रोसीजर कॉल (जीआरपीसी) प्रोटोकॉल के माध्यम से अपने कमांड-एंड-कंट्रोल (सी2) इंफ्रास्ट्रक्चर के साथ संचार करता है और डेटा एक्सफिलट्रेशन और शेलकोड निष्पादन से लेकर पेलोड इंजेक्शन तक 58 कमांड का समर्थन करता है।

एक सहायक इम्प्लांट, EggStremeWizard (xwizards.dll), हमलावरों को रिवर्स शेल और फ़ाइल स्थानांतरण क्षमताएँ प्रदान करता है। इसका डिज़ाइन कई C2 सर्वरों को एकीकृत करता है, जिससे एक सर्वर के बाधित होने पर भी लचीलापन सुनिश्चित होता है।

एगस्ट्रीमफ्यूल की क्षमताएं

प्रारंभिक मॉड्यूल, एगस्ट्रीमफ्यूल, का कार्य टोही और हमलावरों के बुनियादी ढाँचे के साथ संचार स्थापित करना है। यह ऑपरेटरों को निम्नलिखित कार्य करने की अनुमति देता है:

• सिस्टम ड्राइव जानकारी एकत्रित करें.
• cmd.exe प्रारंभ करें और पाइप के माध्यम से संचार बनाए रखें।
• myexternalip.com/raw का उपयोग करके मशीन का बाह्य IP पता प्रेषित करें।
• स्थानीय और दूरस्थ फ़ाइलें पढ़ें, उनकी सामग्री को सहेजें या प्रेषित करें।
• इन-मेमोरी कॉन्फ़िगरेशन डेटा को डिस्क पर डंप करें.
• आवश्यकता पड़ने पर कनेक्शन बंद कर दें।

रणनीतियाँ, तकनीकें और उपकरण

ख़तरा पैदा करने वाले लगातार DLL साइडलोडिंग का इस्तेमाल करते हैं, जिसमें दुर्भावनापूर्ण DLL लोड करने वाले वैध बाइनरी लॉन्च किए जाते हैं। वे आंतरिक नेटवर्क में अपनी पकड़ मज़बूत करने के लिए स्टोववे प्रॉक्सी यूटिलिटी को भी एकीकृत करते हैं। मैलवेयर के फ़ाइल-रहित निष्पादन प्रवाह के साथ, ये तकनीकें ऑपरेशन को सामान्य सिस्टम गतिविधि में घुलने-मिलने और पारंपरिक सुरक्षा उपकरणों द्वारा पता लगाने से बचने की अनुमति देती हैं।

भू-राजनीतिक संदर्भ और विशेषता चुनौतियाँ

चीन से जुड़े समूहों द्वारा फिलीपीन संस्थाओं को निशाना बनाना कोई नई बात नहीं है और संभवतः यह दक्षिण चीन सागर में चीन, वियतनाम, फिलीपींस, ताइवान, मलेशिया और ब्रुनेई के बीच चल रहे क्षेत्रीय विवादों से प्रभावित है।

हालाँकि इस विशिष्ट अभियान को किसी ज्ञात चीनी एपीटी समूह से नहीं जोड़ा गया है, फिर भी इसके उद्देश्य और हित ऐतिहासिक रूप से चीनी राज्य-प्रायोजित तत्वों से जुड़े हुए हैं। शोधकर्ताओं ने 2024 की शुरुआत में इस गतिविधि पर नज़र रखना शुरू कर दिया था, लेकिन अभी तक इसे किसी मौजूदा ख़तरा समूह से निर्णायक रूप से नहीं जोड़ा जा सका है।

एक सतत और टालने वाला खतरा

एगस्ट्रीम मैलवेयर परिवार उच्च स्तर की परिष्कृतता, दृढ़ता और अनुकूलनशीलता को दर्शाता है। फ़ाइल रहित तकनीकों, बहु-चरणीय निष्पादन और अतिरिक्त C2 अवसंरचना पर इसकी निर्भरता, आधुनिक रक्षात्मक उपायों के बारे में ऑपरेटरों के उन्नत ज्ञान को रेखांकित करती है। रक्षकों के लिए, यह अभियान उभरते ख़तरे के परिदृश्य और सक्रिय पहचान एवं प्रतिक्रिया रणनीतियों के महत्व की याद दिलाता है।