Zlonamjerni softver bez datoteka EggStreme
Vojna tvrtka sa sjedištem na Filipinima postala je žrtvom sofisticirane kampanje kibernetičke špijunaže povezane s naprednom skupinom za perzistentne prijetnje (APT) za koju se vjeruje da potječe iz Kine. Napadači su iskoristili prethodno nepoznati okvir zlonamjernog softvera bez datoteka nazvan EggStreme, dizajniran za održavanje dugoročnog, niskoprofilnog pristupa kompromitiranim sustavima.
Sadržaj
Okvir EggStreme: Višefazni i bez datoteka
EggStreme nije pojedinačni zlonamjerni softver, već čvrsto integrirani okvir komponenti. Njegov lanac zaraze započinje s EggStremeFuel (mscorsvc.dll), koji profilira sustav prije implementacije EggStremeLoadera kako bi se uspostavila postojanost. Nakon toga slijedi EggStremeReflectiveLoader, koji aktivira glavni backdoor, EggStremeAgent.
Izvršavanje bez datoteka ovog okvira osigurava da se zlonamjerni kod izvršava u cijelosti u memoriji, ostavljajući minimalne tragove na disku. Osim toga, korištenje bočnog učitavanja DLL-a tijekom cijelog lanca napada komplicira otkrivanje i forenziku.
EggStremeAgent: Središnji živčani sustav
U središtu okvira leži EggStremeAgent, potpuno funkcionalni backdoor koji djeluje kao primarno kontrolno središte napadača. Omogućuje izviđanje sustava, eskalaciju privilegija i lateralno kretanje, a istovremeno koristi EggStremeKeylogger za bilježenje pritisaka tipki u aktivnim korisničkim sesijama.
Stražnja vrata komuniciraju sa svojom infrastrukturom za zapovijedanje i kontrolu (C2) putem protokola Google Remote Procedure Call (gRPC) i podržavaju nevjerojatnih 58 naredbi, od izvlačenja podataka i izvršavanja shellcodea do ubrizgavanja korisnog tereta.
Jedan pomoćni implantat, EggStremeWizard (xwizards.dll), pruža napadačima mogućnosti obrnutog shell-a i prijenosa datoteka. Njegov dizajn uključuje više C2 servera, osiguravajući otpornost čak i ako je jedan server poremećen.
Mogućnosti EggStremeFuela
Početni modul, EggStremeFuel, zadužen je za izviđanje i uspostavljanje komunikacije s infrastrukturom napadača. Omogućuje operaterima:
- Prikupite informacije o sistemskom pogonu.
- Pokrenite cmd.exe i održavajte komunikaciju putem cijevi.
- Prenesite vanjsku IP adresu uređaja koristeći myexternalip.com/raw.
- Čita lokalne i udaljene datoteke, sprema ili prenosi njihov sadržaj.
- Ispis podataka o konfiguraciji iz memorije na disk.
- Prekinite veze kada je to potrebno.
Taktike, tehnike i alati
Akteri prijetnji dosljedno koriste bočno učitavanje DLL-ova pokretanjem legitimnih binarnih datoteka koje učitavaju zlonamjerne DLL-ove. Također integriraju uslužni program Stowaway proxy kako bi osigurali uporište unutar internih mreža. U kombinaciji s tokom izvršavanja zlonamjernog softvera bez datoteka, ove tehnike omogućuju operaciji da se uklopi u normalnu aktivnost sustava i izbjegne otkrivanje tradicionalnim sigurnosnim alatima.
Geopolitički kontekst i izazovi atribucije
Ciljanje filipinskih subjekata od strane skupina povezanih s Kinom nije novost i vjerojatno je pod utjecajem tekućih teritorijalnih sporova u Južnom kineskom moru u kojima sudjeluju Kina, Vijetnam, Filipini, Tajvan, Malezija i Brunej.
Iako ova specifična kampanja nije pripisana nijednoj poznatoj kineskoj APT skupini, ciljevi i interesi snažno se podudaraju s onima koji su povijesno povezani s kineskim državnim akterima. Istraživači su počeli pratiti aktivnost početkom 2024., ali je još nisu konačno povezali s postojećom prijetećom skupinom.
Uporna i izbjegavajuća prijetnja
Obitelj zlonamjernog softvera EggStreme ističe visoku razinu sofisticiranosti, upornosti i prilagodljivosti. Oslanjanje na tehnike bez datoteka, višefazno izvršavanje i redundantnu C2 infrastrukturu naglašava napredno znanje operatera o modernim obrambenim mjerama. Za branitelje, ova kampanja služi kao podsjetnik na razvoj krajolika prijetnji i važnost proaktivnih strategija otkrivanja i odgovora.
