Malware senza file EggStreme
Un'azienda militare con sede nelle Filippine è stata vittima di una sofisticata campagna di cyberspionaggio legata a un gruppo di minacce persistenti avanzate (APT) che si ritiene provenga dalla Cina. Gli aggressori hanno sfruttato un framework malware fileless precedentemente sconosciuto, denominato EggStreme, progettato per mantenere un accesso a lungo termine e discreto ai sistemi compromessi.
Sommario
Il framework EggStreme: multistadio e senza file
EggStreme non è un singolo malware, ma un framework di componenti strettamente integrato. La sua catena di infezione inizia con EggStremeFuel (mscorsvc.dll), che profila il sistema prima di implementare EggStremeLoader per stabilire la persistenza. Segue EggStremeReflectiveLoader, che attiva la backdoor principale, EggStremeAgent.
L'esecuzione fileless del framework garantisce che il codice dannoso venga eseguito interamente in memoria, lasciando tracce minime sul disco. Inoltre, l'uso del sideload delle DLL lungo tutta la catena di attacco complica il rilevamento e le analisi forensi.
EggStremeAgent: Il sistema nervoso centrale
Al centro del framework si trova EggStremeAgent, una backdoor completamente funzionale che funge da hub di controllo primario per l'aggressore. Consente la ricognizione del sistema, l'escalation dei privilegi e il movimento laterale, implementando anche EggStremeKeylogger per catturare le sequenze di tasti premuti durante le sessioni utente attive.
La backdoor comunica con la sua infrastruttura di comando e controllo (C2) tramite il protocollo Google Remote Procedure Call (gRPC) e supporta ben 58 comandi, che vanno dall'esfiltrazione dei dati all'esecuzione di shellcode fino all'iniezione di payload.
Un impianto ausiliario, EggStremeWizard (xwizards.dll), fornisce agli aggressori una reverse shell e funzionalità di trasferimento file. Il suo design incorpora più server C2, garantendo resilienza anche in caso di interruzione di un server.
Capacità di EggStremeFuel
Il modulo iniziale, EggStremeFuel, ha il compito di effettuare ricognizioni e stabilire comunicazioni con l'infrastruttura degli aggressori. Permette agli operatori di:
- Raccogliere informazioni sull'unità di sistema.
- Avviare cmd.exe e mantenere la comunicazione tramite pipe.
- Trasmettere l'indirizzo IP esterno della macchina utilizzando myexternalip.com/raw.
- Leggere file locali e remoti, salvandone o trasmettendone il contenuto.
- Scarica i dati di configurazione in memoria sul disco.
- Interrompere le connessioni quando necessario.
Tattiche, tecniche e strumenti
Gli autori della minaccia utilizzano sistematicamente il sideloading delle DLL, lanciando file binari legittimi che caricano DLL dannose. Integrano inoltre l'utilità proxy Stowaway per garantire un punto d'appoggio nelle reti interne. In combinazione con il flusso di esecuzione fileless del malware, queste tecniche consentono all'operazione di mimetizzarsi nella normale attività di sistema e di eludere il rilevamento da parte degli strumenti di sicurezza tradizionali.
Contesto geopolitico e sfide di attribuzione
Gli attacchi contro entità filippine da parte di gruppi legati alla Cina non sono una novità e sono probabilmente influenzati dalle attuali controversie territoriali nel Mar Cinese Meridionale che coinvolgono Cina, Vietnam, Filippine, Taiwan, Malesia e Brunei.
Sebbene questa specifica campagna non sia stata attribuita ad alcun gruppo APT cinese noto, gli obiettivi e gli interessi sono fortemente in linea con quelli storicamente associati ad attori sponsorizzati dallo Stato cinese. I ricercatori hanno iniziato a monitorare l'attività all'inizio del 2024, ma non hanno ancora stabilito un collegamento definitivo con un gruppo di minaccia esistente.
Una minaccia persistente ed evasiva
La famiglia di malware EggStreme evidenzia un elevato livello di sofisticazione, persistenza e adattabilità. Il suo utilizzo di tecniche fileless, esecuzione multifase e infrastruttura C2 ridondante sottolinea la conoscenza approfondita delle moderne misure difensive da parte degli operatori. Per i difensori, questa campagna serve a ricordare l'evoluzione del panorama delle minacce e l'importanza di strategie di rilevamento e risposta proattive.
