Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Malware EggStreme fájl nélküli kártevő

EggStreme fájl nélküli kártevő

Mezo -ra Malware, Advanced Persistent Threat (APT)-ben
Fordítás ide:

Egy Fülöp-szigeteki katonai vállalat áldozatául esett egy kifinomult kiberkémkedési kampánynak, amely egy feltehetően Kínából származó, fejlett perzisztens fenyegetéseket (APT) elkövető csoporthoz köthető. A támadók egy korábban ismeretlen, EggStreme nevű fájl nélküli rosszindulatú program keretrendszert használtak, amelyet a feltört rendszerekhez való hosszú távú, alacsony profilú hozzáférés fenntartására terveztek.

Az EggStreme keretrendszer: Többlépcsős és fájl nélküli

Az EggStreme nem egyetlen kártevő, hanem egy szorosan integrált komponensekből álló keretrendszer. Fertőzéses lánca az EggStremeFuel-lel (mscorsvc.dll) kezdődik, amely profilt készít a rendszerről, mielőtt telepítené az EggStremeLoader-t a perzisztencia biztosítása érdekében. Ezt követi az EggStremeReflectiveLoader, amely aktiválja a fő hátsó ajtót, az EggStremeAgent-et.

A keretrendszer fájl nélküli végrehajtása biztosítja, hogy a rosszindulatú kód teljes egészében a memóriában fusson, minimális nyomot hagyva a lemezen. Ezenkívül a DLL oldalratöltés használata a támadási láncban bonyolítja az észlelést és a forenzikus elemzést.

EggStremeAgent: A központi idegrendszer

A keretrendszer magját az EggStremeAgent alkotja, egy teljes értékű hátsó ajtó, amely a támadó elsődleges vezérlőközpontjaként működik. Lehetővé teszi a rendszer felderítését, a jogosultságok eszkalációját és az oldalirányú mozgást, miközben az EggStremeKeyloggert is telepíti a billentyűleütések rögzítésére az aktív felhasználói munkamenetek során.

A hátsó ajtó a Google Remote Procedure Call (gRPC) protokollon keresztül kommunikál a parancs- és vezérlő (C2) infrastruktúrájával, és elképesztő, 58 parancsot támogat, az adatkiszivárgástól és a shellkód végrehajtásától kezdve a hasznos adat injektálásáig.

Egy kiegészítő implantátum, az EggStremeWizard (xwizards.dll), fordított shell és fájlátviteli képességeket biztosít a támadóknak. Kialakítása több C2 szervert tartalmaz, így biztosítva a rugalmasságot még akkor is, ha az egyik szerver meghibásodik.

Az EggStremeFuel képességei

A kezdeti modul, az EggStremeFuel, a felderítéssel és a támadók infrastruktúrájával való kommunikáció létrehozásával foglalkozik. Lehetővé teszi az operátorok számára, hogy:

  • Gyűjtse össze a rendszermeghajtó adatait.
  • Indítsd el a cmd.exe-t, és tartsd fenn a kommunikációt pipe-okon keresztül.
  • Küldje el a gép külső IP-címét a myexternalip.com/raw címen.
  • Helyi és távoli fájlok olvasása, tartalmuk mentése vagy továbbítása.
  • Memóriában tárolt konfigurációs adatok lemezre írása.
  • Szükség esetén zárja le a kapcsolatokat.

Taktikák, technikák és eszközök

A fenyegető szereplők következetesen DLL-ek oldalratöltését alkalmazzák legitim bináris fájlok elindításával, amelyek rosszindulatú DLL-eket töltenek be. Emellett integrálják a Stowaway proxy segédprogramot, hogy megvethessék a lábukat a belső hálózatokon. A rosszindulatú program fájl nélküli végrehajtási folyamatával kombinálva ezek a technikák lehetővé teszik, hogy a művelet beolvadjon a normál rendszertevékenységbe, és elkerülje a hagyományos biztonsági eszközök általi észlelést.

Geopolitikai kontextus és attribúciós kihívások

A Fülöp-szigeteki szervezetek elleni, Kínához köthető csoportok általi támadások nem új keletűek, és valószínűleg a Dél-kínai-tengeren folyamatban lévő területi viták befolyásolják, amelyek Kínát, Vietnamot, a Fülöp-szigeteket, Tajvant, Malajziát és Bruneit érintik.

Bár ezt a konkrét kampányt nem tulajdonították egyetlen ismert kínai APT-csoportnak sem, a célok és érdekek szorosan illeszkednek a kínai állam által támogatott szereplőkhöz történelmileg köthető célokhoz és érdekekhez. A kutatók 2024 elején kezdték nyomon követni a tevékenységet, de még nem sikerült meggyőzően összefüggésbe hozniuk egy meglévő fenyegető csoporttal.

Állandó és elkerülhetetlen fenyegetés

Az EggStreme kártevőcsalád magas szintű kifinomultságot, tartósságot és alkalmazkodóképességet mutat. A fájl nélküli technikákra, a többlépcsős végrehajtásra és a redundáns C2 infrastruktúrára való támaszkodása kiemeli a kezelők modern védelmi intézkedésekkel kapcsolatos fejlett ismereteit. A védők számára ez a kampány emlékeztetőül szolgál a változó fenyegetési környezetre, valamint a proaktív észlelési és reagálási stratégiák fontosságára.

Felkapott

Legnézettebb

Betöltés...